济南市信息安全风险评估工作指南.docx

济南市信息安全风险评估工作指南济南市信息化领导小组办公室济南市信息产业局2007年6月前 言随着我市国民经济和社会信息化进程的加快，网络与信息系统的基础性、全局性作用日益增强，国民经济和社会发展对网络和信息系统的依赖性也越来越大。网络和信息系统自身存在的缺陷、脆弱性以及面临的威胁，使信息系统的运行客观上存在着潜在风险。信息安全已经成为影响信息化发展的重大问题，引起了国家政府和社会的广泛关注和重视。国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327号文件）提出“要重视信息安全风险评估工作，对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估，综合考虑网络与信息系统的重要性、涉密程度和面临的信息安全风险等因素，进行相应等级的安全建设和管理。” 中央领导同志也多次就信息安全风险评估工作做出重要指示。信息系统信息安全风险评估是为了了解系统究竟面临什么风险、有多大风险，以及应该采取什么样的措施去减少、化解或规避风险，是为了解决这样一些问题：什么地方、什么时间可能出问题？会出什么问题？出问题的可能性有多大？这些问题可能产生的后果是什么？应该采取什么样的措施加以避免和弥补？它是认识和评价信息系统信息安全状况的基本方法和手段，是信息安全的基础性工作。市信息化办公室、市信息产业局结合济南市信息安全风险评估试点工作过程中的实践经验，总结形成了一套信息安全风险评估流程，以此为基础编写了济南市信息安全风险评估工作指南（以下简称“工作指南”）。本工作指南对信息安全风险评估的基本概念、评估方法、实施过程、项目管理和质量管理等方面作了全面的阐述。在风险评估实际工作中可以根据具体情况，对风险评估的方法、过程和工具进行适当的选择和发展，完成好信息安全风险评估工作。 本工作指南是我市开展信息系统信息安全风险评估工作的指导文件，它的编制旨在使信息安全风险评估作为一项科学的方法为我市各单位所接受、理解和运用，对各单位的信息安全风险评估工作起到指导作用。目 录第一章 适用范围5第二章 参考依据6第三章 信息安全风险评估概述73.1基本概念73.2名词术语73.3风险评估基本原理103.3.1风险评估要素关系模型103.3.2风险计算模型11第四章 风险评估原则124.1可控性原则124.2完整性原则124.3最小影响原则124.4保密性原则134.5可恢复性原则13第五章 风险评估和信息系统生命周期145.1信息系统生命周期145.2信息系统生命周期各阶段中的风险评估145.2.1规划阶段155.2.2设计阶段155.2.3实施阶段175.2.4运维阶段185.2.5废弃阶段19第六章 风险评估的形式及工作程序226.1基本形式226.1.1自评估226.1.2检查评估226.2角色与职责246.3工作程序26第七章 风险评估质量控制317.1风险评估项目组织317.2加强项目评审317.3风险评估过程中的风险控制327.4风险评估文档的要求327.5交流与沟通33第八章 风险评估实施过程348.1风险评估的准备358.1.1工作任务358.1.2工作流程358.1.3阶段成果378.2资产识别388.2.1资产分类388.2.2资产赋值398.2.3资产重要性等级418.3威胁识别438.3.1威胁分类438.3.2威胁赋值448.4脆弱性识别468.4.1脆弱性识别内容468.4.2脆弱性识别方法498.4.3脆弱性赋值518.5已有安全措施的确认528.6风险分析538.6.1风险计算原理538.6.2风险结果的判定548.6.3控制措施的选择558.6.4残余风险的评价55附录1 风险评估工作表格571.系统调研572.资产识别清单573.资产重要性程度判断准则594.威胁列表615.脆弱性列表626.风险处理计划63附录2 风险值计算方法641.使用矩阵法计算风险641.1计算原理641.2适用条件651.3计算过程651.4小结682.使用相乘法计算风险692.1计算安全事件发生的可能性692.2计算安全事件发生后的损失692.3风险值计算70第一章 适用范围本工作指南依据信息安全风险评估指南（征求意见稿）（国信办综20069号）文件中规定的评估步骤和评估流程，对信息安全风险评估过程中具体内容和方法给予进一步的说明，为我市的各机构或单位在开展信息安全风险评估相关工作时提供参考。第二章 参考依据本指南在编制过程中依据了国家政策法规、技术标准、规范与管理要求、行业标准，主要包括以下内容：1. 政策法规：国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327号）国家网络与信息安全协调小组关于开展信息安全风险评估工作的意见（国信办20065号）2. 国际标准：ISO/IEC 17799：2005信息安全管理实施指南ISO/IEC 27001：2005信息安全管理体系要求ISO/IEC TR 13335信息技术安全管理指南SSE-CMM系统安全工程能力成熟模型3. 国内标准：信息安全风险评估指南（国信办综20069号）GB 178591999计算机信息系统安全保护等级划分准则GB/T 18336 1-3：2001信息技术安全性评估准则GB/T 5271.8-2001 信息技术 词汇 第8部分： 安全GB/T 19715.12005 信息技术安全管理指南 第1部分：信息技术安全概念和模型GB/T 197162005 信息安全管理实用规则4. 其它北京市信息系统风险评估实施指南天津市电子政务风险评估实施指南上海市信息安全风险评估管理软件信息安全风险评估方法与应用第三章 信息安全风险评估概述3.1基本概念信息系统的安全风险，是指由于系统存在的脆弱性，人为或自然的威胁导致安全事件发生所造成的影响。信息安全风险评估，则是指依据国家有关信息安全技术标准，对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行科学评价的过程，它要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响，并根据安全事件发生的可能性和负面影响的程度来识别信息系统的安全风险。信息安全风险评估就是从风险管理角度，运用科学的方法和手段，系统地分析网络与信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施，并为防范和化解信息安全风险，或者将风险控制在可接受的水平，从而为最大限度地保障网络和信息安全提供科学依据。信息安全风险评估是信息安全保障体系建立过程中的重要的评价方法和决策机制。没有准确及时的风险评估，将使得各个机构无法对其信息安全的状况做出准确的判断。因为任何信息系统都会有安全风险，信息安全建设的宗旨之一，就是在综合考虑成本的前提下，通过安全措施来控制风险，使残余风险降到可接受的范围内。本工作指南中所指的“风险评估”，其含义均为“信息安全风险评估”。3.2名词术语在信息安全风险评估中经常要涉及以下术语。1. 资产对组织具有价值的信息或资源，是安全策略保护的对象。2. 资产价值资产的重要程度或敏感程度的表征。资产价值是资产的属性，也是进行资产识别的主要内容。3. 可用性数据或资源的特征，被授权实体按要求能访问和使用数据或资源。4. 业务战略组织为实现其发展目标而制定的一组规划或需求。5. 机密性数据所具有的特征，即表示数据所达到的未提供或未泄露给未授权的个人、过程或其他实体的程度。6. 信息安全风险人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。7. 信息安全风险评估依据有关信息安全技术和管理标准，对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。信息安全风险评估的主要内容是评估信息系统中资产面临的威胁以及威胁利用脆弱性导致安全事件发生的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生所造成的影响。8. 信息系统由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规划实现对信息进行采集、加工、存储、检索等功能的系统。典型的信息系统由三部分组成：硬件系统（计算机硬件系统和网络硬件系统）；系统软件（计算机系统软件和网络系统软件）；应用软件（包括由其处理、存储的信息）。9. 检查评估由被评估信息系统的上级主管机关或业务主管机关发起的，依据国家有关法规或标准，对信息系统及其管理进行的具有强制性的检查活动，是通过行政手段加强信息安全的重要措施。10. 完整性保证信息及信息系统不会被非授权更改或破坏的特征。包括数据完整性和系统完整性。11. 数据完整性数据所具有的特征，即无论数据形式作何变化，数据的准确性和一致性均保持不变。12. 系统完整性在防止非授权用户修改或使用资源和防止授权用户不正确地修改或使用资源的情况下，信息系统能履行其操作目的的品质。13. 组织由作用不同的个体为实施共同业务目标而建立的结构。组织的特征在于为完成目标而分工、合作；一个单位是一个组织，某个业务部门也可以是一个组织。14. 残余风险采取了安全措施后，仍然可能存在的风险。15. 自评估由组织自身发起，参照国家有关法规与标准，对信息系统及其管理进行的风险评估活动。16. 安全事件指系统、服务或网络的一种可识别状态的发生，它可能是对信息安全策略的违反或防护措施的失效，或未预知的不安全状况。17. 安全措施保护资产、抵御威胁、减少脆弱性、降低安全事件的影响，以及打击信息犯罪而实施的各种实践、规程和机制的总称。18. 安全需求为保证组织业务战略的正常运作而在安全措施方面提出的要求。19. 威胁可能导致对系统或组织危害的不希望事故的潜在起因。威胁通过威胁的主体、能力、资源、动机、途径、可能性和后果等多种属性表现。20. 脆弱性可能被威胁所利用的资产或若干资产的弱点。21. 风险管理确定、控制、消除或缩减影响系统资源的不定事件的总过程，它包括风险分析，费效分析、选择、实现与测试、安全防护评估及所有的安全检查等。22. 风险分析确定安全风险，划分风险等级、建立防护范围的过程。风险分析是风险管理的一部分。3.3风险评估基本原理3.3.1风险评估要素关系模型风险评估的出发点是对与风险有关的各因素的确认和分析。下图中方框部分的内容为风险评估的基本要素，椭圆部分的内容是与这些要素相关的属性，也是风险评估要素的一部分。风险评估的工作是围绕其基本要素展开的，在对这些要素的评估过程中需要充分考虑业务战略、资产价值、安全事件、残余风险等与这些基本要素相关的各类因素。如下模型表示了各因素的关系：图3.1风险评估要素关系模型图中这些要素之间存在着以下关系：业务战略依赖于资产去完成；资产拥有价值，单位的业务战略越重要，对资产的依赖度越高，资产的价值则就越大；资产的价值越大则风险越大；风险是由威胁发起的，威胁越大则风险越大，并可能演变成安全事件；威胁都要利用脆弱性，脆弱性越大则风险越大；脆弱性使资产暴露，是未被满足的安全需求，威胁要通过利用脆弱性来危害资产，从而形成风险；资产的重要性和对风险的意识会导出安全需求;安全需求要通过安全措施来得以满足，且是有成本的；安全措施可以抗击威胁，降低风险，减弱安全事件的影响；风险不可能也没有必要降为零，在实施了安全措施后还会有残留下来的风险，部分残余风险来自于安全措施可能不当或无效，在以后需要继续控制这部分风险，另一部分残余风险则是在综合考虑了安全的成本与资产价值后，有意未去控制的风险，这部分风险是可以被接受的；残余风险应受到密切监视，因为它可能会在将来诱发新的安全事件。3.3.2风险计算模型风险计算模型是对通过风险分析计算风险值的过程的抽象，它主要包括资产评估、威胁评估、脆弱性评估以及风险分析。风险计算模型如下图所示：图3.2 风险计算模型示意图风险计算模型中包含信息资产、威胁、脆弱性等基本要素。每个要素有各自的属性，信息资产的属性是资产价值；威胁的属性可以是威胁主体、影响对象、发生的可能性、动机等；脆弱性的属性是脆弱性被威胁利用后对资产带来的影响的严重程度。风险计算的过程如下： 对资产进行识别，并对资产的价值进行赋值； 对威胁进行识别，描述威胁的属性，并对威胁出现的频率赋值； 对资产的脆弱性进行识别，并对具体资产的脆弱性的严重程度赋值； 根据威胁及威胁利用弱点的难易程度判断安全事件发生的可能性； 根据脆弱性的严重程度及安全事件所作用资产的价值计算安全事件的损失； 根据安全事件发生的可能性以及安全事件的损失，计算安全事件一旦发生对组织的影响，即风险值。第四章 风险评估原则风险评估本身有一定风险，为规避风险，开展信息安全风险评估工作应遵循以下原则：4.1可控性原则1) 人员可控性 所有参与风险评估的人员均应进行严格的资格审查和备案，明确其职责分工，并对人员工作岗位的变更执行严格的审批手续，确保人员可控。评估人员的分工需在评估实施方案中明确定义，并要得到被评估系统项目负责人的同意、确认。如果根据项目的具体情况，需要进行人员调整时，必须经过正规的项目变更程序，得到被评估系统项目负责人的正式认可。2) 工具可控性 评估工作中所使用的技术手段、仪器设备等工具的执行情况和影响均应当事先以书面的形式通告被评估系统项目负责人，向被评估系统的技术人员介绍工具的使用方法并进行实验后方可使用。3) 项目过程可控性风险评估项目的管理应当依据项目管理方法学，重视项目管理的沟通。在整个风险评估项目的实施过程中，评估人员应当重视与被评估系统的技术层、管理层，被评估系统的上级主管部门和信息化主管部门的沟通，确保项目过程的可控性。4.2完整性原则评估人员应当参照相关标准和技术规范，严格按照评估实施流程在已确定的评估范围内进行全面的评估活动。4.3最小影响原则评估人员应当从管理和技术两个层面力求将风险评估过程对信息系统运行可能造成的影响降低到最小限度。4.4保密性原则在风险评估实施前，评估人员应当与被评估系统的项目负责人签署书面形式的保密协议。4.5可恢复性原则在风险评估实施前，在实施方案中应当明确指出意外情况下系统恢复的手段和具体的恢复策略。第五章 风险评估和信息系统生命周期5.1信息系统生命周期信息系统生命周期是某一信息系统从无到有，再到废弃的整个过程，一般包括五个基本阶段：规划、设计、实施、运维和废弃。在规划阶段，确定信息系统的目的、范围和需求，分析和论证可行性，提出总体方案。在设计阶段，依据总体方案，设计信息系统的实现结构（包括功能划分、接口协议和性能指标等）和实施方案（包括实现技术、设备选型和系统集成等）。在实施阶段，按照实施方案，购买和检测设备，开发定制功能，集成、部署、配置和测试系统，培训人员等。在运维阶段，运行和维护系统，保证信息系统在自身所处环境的变化中始终能够正常工作和不断升级。在废弃阶段，对信息系统的过时或无用部门进行报废处理。当信息系统的业务目标和需求或技术和管理环境发生变化时，需要再次进入上述五个阶段，开成新的一次循环。因此，规划、设计、实施、运维和废弃构成了信息系统建设的一个螺旋式上升的循环，使得信息系统不断适应自身和环境的变化。本工作指南下面所指的信息系统生命周期是指上述通用的五个基本阶段。5.2信息系统生命周期各阶段中的风险评估风险评估应贯穿于信息系统的整个生命周期的各阶段中。信息系统生命周期各阶段中涉及的风险评估的原则和方法是一致的，可按照本工作指南中的风险评估实施过程进行适当简化与裁剪加以实施。但由于各阶段实施的内容、对象、安全需求不同，使得风险评估的对象、目的、要求等各方面也有所不同，因此，各阶段风险评估的具体实施也将根据该阶段的特点有所侧重进行。在信息系统生命周期的各阶段中的安全活动如图5.1所示：5.2.1规划阶段v 目标：确定系统的使命，用以支撑系统安全需求及安全战略等。规划阶段的风险评估应能够描述信息系统建成后对现有业务模式的作用，包括技术、管理等方面，并根据其作用确定系统建设应达到的安全目标。v 本阶段评估内容：规划阶段的风险评估中，资产、脆弱性不需要识别；威胁应根据未来系统的应用对象、应用环境、业务状况、操作要求等方面进行分析。着重以下几方面：1) 是否从组织上依据相关规则确立信息系统整体规划，是否与业务战略相一致，并得到信息系统所有者主管领导的认可；2) 整体规划中是否明确系统开发的组织、业务变更的管理、开发优先级；3) 整体规划中是否考虑系统的威胁、环境和制定总体的安全方针；4) 描述信息系统预期使用的信息，包括预期的应用、信息资产的重要性、潜在的价值、可能的使用限制、对业务的支持程度等；5) 描述所有与信息系统安全相关的运行环境，包括物理和人员的安全配置，以及明确相关的法规、组织安全政策、习惯、专门技术和知识等。v 输出：规划阶段的风险评估结果应体现在信息系统整体规划或项目建议书中，阶段文档为：系统安全需求分析等。5.2.2设计阶段v 目标:根据规划阶段所明确的系统运行环境、资产重要程度，提出安全功能需求，并将安全需求纳入规格说明，获得系统和相关安全活动。v 本阶段评估内容：在本阶段风险评估需要根据规划阶段所明确的系统运行环境、资产重要程度，提出安全功能需求。设计阶段的风险评估结果应对设计方案中所提供的安全功能符合性进行判断，作为采购过程风险控制的依据。设计阶段的风险评估中，应详细评估设计方案中对系统面临威胁的描述、将使用的具体设备、软件等资产的列表，以及这些资产的安全功能需求。评估对象是设计方案和安全需求分析，对部分将二者合一的系统建设方案，则直接评审系统建设方案。对设计方案的评估包括以下内容：l 设计方案是否符合系统建设规划，并得到信息系统所有者主管领导的认可；l 是否对系统建设后面临的威胁进行了分析。重点分析来自物理环境和自然的威胁，由于内、外部入侵等造成的威胁；l 设计方案是否明确目的、业务对象、费用、效果等各项内容；l 是否采取了一定的手段应对系统可能的故障；l 对设计或者原型中的技术实现以及人员、组织管理等各方面的脆弱性进行评估，包括设计过程中的管理脆弱性和技术平台固有的脆弱性。 系统分析及需求定义的评估要点包括：l 是否符合规划阶段的安全目标，并基于威胁的分析，制定系统建设的总体安全策略；l 是否考虑可能随着其他系统接入而产生的风险；l 信息系统建成后可能对业务、管理体制及各种规程等的影响；l 是否根据开发的规模、时间及系统的特点选择开发方法，并根据设计方案及用户需求，对系统涉及的软件、硬件与网络进行分析和选型；l 系统的性能是否满足潜在用户需求，并考虑到峰值的影响，是否在技术上考虑了满足系统性能要求的方法；l 数据库是否根据业务需要进行设计；l 是否考虑源代码的安全防范，是否制订了安全编程指南；l 设计活动中所采用的安全控制措施、安全技术保障手段对风险结果的影响。在安全需求变更和设计变更后，也需要重复这项评估。v 输出：设计阶段的风险评估可以以安全建设方案评审的方式进行，判定方案所提供的安全功能与信息技术安全技术标准的符合性。评估结果最终应体现在系统的需求分析报告或建设实施方案中。阶段文档一般包含：系统设计阶段安全风险分析报告、系统安全体系设计方案、系统安全功能分配方案和系统信息流程安全性设计方案等。 5.2.3实施阶段v 目标：根据系统安全需求和运行环境对系统开发实施过程进行风险识别，并对系统建成后的安全功能进行验证。v 本阶段评估内容：在实施阶段，风险评估的目的是根据系统安全需求和运行环境对系统开发实施过程进行风险识别，并对系统建成后的安全功能进行验证。根据设计阶段分析的威胁和建立的安全控制措施，在实施及验收时进行质量控制。基于设计阶段的资产列表、安全措施以及评估过程中对上述要求的保障，实施阶段应对规划阶段的安全威胁进行进一步细分，同时评估安全措施的实现程度，从而确定上述安全措施能否抵御现有威胁、脆弱性的影响。实施阶段风险评估包括开发与获取阶段、实施交付阶段两部分评估。开发与获取阶段的具体评估要点包括：l 法律、政策、适用标准和指导方针：评估直接或间接影响信息安全需求的特定法律；评估政府政策、国际或国家标准对系统安全需求的影响；l 系统的功能需要：安全需求是否有效地支持系统的功能；l 成本效益风险：系统的资产、威胁和弱点，以确定在符合相关法律、政策、标准和系统功能需要下最合适的防范措施。l 评估保证级别：指明系统建成后应进行怎样的测试和检查，从而确定是否满足项目建设、实施规范。l 评估系统开发/获取阶段的安全活动：包括系统安全开发的内容、开发过程的监视、安全问题的防范、需求更改的响应以及监视外来的威胁。l 评估系统开发过程中源代码的安全需求是否满足，根据规划/设计阶段制定的安全编程指南进行测试和检查，从而确定是否满足安全编程的要求。实施交付阶段的具体评估要点包括：l 根据实际建成的系统，详细分析其面临的威胁；l 根据系统建设目标和安全需求，对系统的安全功能进行验收测试；评价安全功能能否抵御安全威胁；l 评估是否建立了与整体安全策略一致的组织管理制度；l 对系统实现的风险控制效果与预期设计的符合性进行判断，如存在较大的不符合，应重新进行系统安全策略的设计与调整。v 输出：本阶段风险评估可以采取对照实施方案和标准要求的方式对实际建设结果进行测试、分析。阶段文档为：系统实施阶段安全风险分析报告、系统安全集成方案等。5.2.4运维阶段v 目标：按照控制措施所定义的系统操作要求、运行要求和管理要求，进行安全操作和安全管理，保证系统的安全功能的实现，在信息系统及其运行环境发生变化时，应评估其风险，并制定和实施相应的控制措施来控制风险，以维持系统的正常运行和安全性。v 本阶段评估内容：本阶段风险评估内容包括对真实运行的信息系统、资产、威胁、脆弱性等各方面。1) 资产评估：对真实环境下较为细致的评估，包括实施阶段采购的软硬件资产、系统运行过程中生成的信息资产、相关的人员与服务等。本阶段资产识别是前期资产识别的补充与增加。2) 威胁评估：真实环境中的威胁分析，应全面地评估威胁的可能性和影响程度。对非故意威胁产生安全事件的评估可以参照事故发生率，对故意威胁主要由评估人员就威胁的各个影响因素做出专业判断，同时考虑已有控制措施。3) 脆弱性评估：是全面的脆弱性评估。包括运行环境下物理、网络、系统、应用、安全保障设备、管理的脆弱性。对于技术的脆弱性评估采取核查、扫描、案例验证、渗透性测试的方式验证脆弱性；对安全保障设备脆弱性评估时考虑安全功能的实现情况和安全措施本身的脆弱性；对于管理脆弱性采取文档、记录核查进行验证。4) 风险计算：根据本工作指南的相关方法，对主要资产的风险进行定性或定量的风险分析，描述不同资产的风险高低状况。运维阶段的风险评估应定期执行；当组织的业务流程、系统状况发生重大变化时，也应进行风险评估。重大变更时包括以下变更（但不限于）：l 增加新的应用或应用发生较大变更；l 网络结构和连接状况发生较大变更；l 技术平台大规模的更新；l 系统扩容或改造后进行；l 发生重大安全事件后，或基于某些运行记录怀疑将发生重大安全事件；l 组织结构发生重大变动对系统产生影响。v 本阶段风险评估是本工作指南所称一般意义上的风险评估，可参照本工作指南第八章风险评估实施过程进行。5.2.5废弃阶段v 目标：确保信息、硬件、软件等资产及残留信息得到了适当的处置，并确保系统组件被合理地丢弃或更换，防止信息系统的安全目标遭到破坏。v 本阶段评估内容：当信息系统不能满足现有要求时，信息系统进入废弃阶段。根据废弃的程度，又分为部分废弃和全部废弃两种。若是被废弃的系统是某个系统的一部分，或与其他系统存在物理或逻辑上的连接，还应考虑系统废弃后与其他系统的连接是否被关闭。若在系统变更中废弃，除对废弃部分外，还应对变更的部分进行评估，以确定是否会增加风险或引入新的风险，还要确保更新过程在一个安全、系统化的状态下完成。本阶段应重点对废弃资产对组织的影响进行分析，并根据不同的影响制定不同的处理方式。对由于系统废弃可能带来的新的威胁进行分析，并改进新系统或管理模式；对废弃资产的处理过程应在有效的监督之下实施，同时对废弃的执行人员进行安全教育。信息系统维护工作的技术人员和管理人员均应该参与此阶段的评估。v 输出：本阶段风险评估一般要提供信息记录处理规范和介质安全处理规范。表5.1列出了各阶段风险评估在这些方面的具体要求。风险评估的要求生命周期阶段阶段1规划阶段2设计阶段3实施阶段4运维阶段5废弃目的获取规划中的信息系统的安全风险。用以提出并确定信息系统安全建设的要求。标识出风险，对设计说明中的安全性设计提供评判依据，确定安全需求。根据系统安全需求和运行环境对系统开发实施过程进行风险识别，并对系统建成后的安全功能进行验证。了解和控制运行过程中的系统安全风险。确保信息、硬件、软件等资产及残留信息得到了适当的处置，并确保系统组件被合理地丢弃或更换，防止信息系统的安全目标遭到破坏。对象规划中的或者建设初期的信息系统，包括信息系统本身及此阶段的人员、组织、过程等相应的管理。设计规格说明书或者系统原型，及此阶段涉及的人员、过程控制、管理制度等。信息系统本身。信息系统本身。信息系统本身。时间提出规划之后，确定安全需求之前。在设计规格说明书评审和批准之前。在系统运行之前。1运行期间任意时间；2定期进行；3重大变更时进行；4系统扩容或改造后进行。废弃或者系统更新前。评估重点威胁评估：着重评估可能存在的威胁环境，是从比较宏观的角度评估威胁环境。其它：法律、法规对安全风险的影响。资产评估：着重系统的初期对安全三性（机密、完整、可用）的要求。系统对机构业务战略的重要性。资产类别划分可以基本在第一级别上。不一定要深入到更细层次的资产类别。威胁评估：与第一阶段内容相同的评估内容，只是针对更具体的威胁环境，包括人员、组织管理等各方面。脆弱性评估：对设计或者原型中的技术实现以及人员、组织管理等各方面的脆弱性评估。其它：评估设计中的安全控制项、安全技术保障手段对风险结果的影响。在安全需求变更和设计变更后需要重复上面的评估。资产评估着重系统的初期对安全三性（机密、完整、可用）的要求。系统对机构业务战略的重要性。资产类别划分可以基本在第一级别上。不一定要深入到更细层次的资产类别。威胁评估：威胁评估仍然着重威胁环境，而且是真实环境中的威胁分析。脆弱性评估：对系统进行实际环境中的脆弱性评估，着重在运行和管理两方面。其它：评估设计实施的安全控制是否实施，及其对风险结果的影响。全面资产、威胁、脆弱性评估。资产评估：着重废弃处理不当对资产的影响。威胁评估：着重在信息、硬件和软件的废弃处置方面威胁。脆弱性评估着重访问控制方面的弱点。结果适度的安全建设要求。符合规划中安全要求的安全设计方案及开发或采购过程的安全风险控制措施。对系统实现的风险控制效果与预期设计的符合性，并为系统正式运行制定风险控制的一系列决策。及时改进风险控制措施。 得到并进行系统废弃处理的安全控制措施。人员信息系统使用者或信息系统所有者相关人员应该参与评估，也可委托风险评估服务技术支持方进行评估。信息系统使用者、专家组和信息系统所有者应该参与评估,必要时可委托风险评估服务技术支持方进行评估。信息系统所有者的技术人员和管理人员均应该参与评估, 必要时可委托风险评估服务技术支持方进行评估。信息系统所有者技术人员和管理人员均应该参与评估，可以委托风险评估服务技术支持方评估。信息系统所有者维护工作的技术人员和管理人员均应该参与评估，可以委托风险评估服务技术支持方。表5.1 信息系统生命周期各阶段中风险评估的内容第六章 风险评估的形式及工作程序6.1基本形式根据风险评估工作发起者的不同，可以将风险评估的工作方式分为自评估和检查评估两种形式。风险评估以自评估为主，自评估和检查评估相互结合、互为补充。6.1.1自评估自评估是由信息系统所有者自身发起的，以发现信息系统现有风险，实施安全管理为目的的风险评估活动，自评估一般依靠自身力量或委托风险评估服务技术支持方实施。依靠自身力量进行自评估，有利于信息系统相关信息的保密；有利于发挥行业和部门内的人员的业务特长；有利于降低风险评估的费用；有利于提高本单位的风险评估能力与信息安全知识。但是，如果没有统一的规范和要求，在缺乏风险评估专业人才的情况下，依靠自身力量，自评估的结果可能不深入、不规范、不到位。自评估中，也可能会存在某些不利的干预，从而影响风险评估结果的客观性，降低了评估结果的可信度。某些时候，即使自评估的结果比较客观，但也可能不会被管理层所接受。为了弥补这些缺陷，可以通过发挥专家的指导作用或委托第三方评估机构参与部分工作的方式得以解决。委托第三方评估机构的自评估简称委托评估，是指信息系统所有者委托具有风险评估相应资质的专业评估机构实施的自评估活动。接受委托的评估机构拥有风险评估的专业人才，具有丰富的风险评估经验，对风险评估的共性了解得比较深入，风险评估实施过程中评估过程规范、评估结果客观。6.1.2检查评估检查评估由信息安全主管机关或业务主管机关发起，旨在依据已经颁布的法规或标准，在检查关键领域、或关键点的信息安全风险是否在可接受的范围内。鉴于检查评估的性质，在检查评估实施之前，一般应确定适用于整个评估工作的评估要求或规范，以适用于所有被评估单位。由于检查评估是由信息安全主管机关或业务主管机关实施的，因此，其评估结果具有一定的权威性；但单次评估的检查时间比较短，两次评估的间隔时间比较长，很难对信息系统的整体风险评估状况做出完整的评价，只能就特定的关键点检查被评估系统是否达到要求。此外，检查评估符合要求并不表明系统的整体安全状况已经完全达到要求。检查评估也可以委托风险评估服务技术支持方实施，但评估结果仅对检查评估的发起单位负责。由于检查评估代表了主管机关，涉及评估对象也往往较多，因此，主管机关要对实施检查评估机构进行严格管理。检查评估是在对自评估过程记录与评估结果的基础上，验证和确认系统存在的技术、管理、运行风险，以及自评估后采取风险控制措施取得的效果，对自评估的实施过程、风险计算方法、评估结果等重要环节的科学合理性进行分析，并制定检查列表。检查评估一般覆盖以下内容：自评估方法的检查；自评估过程记录检查；自评估结果跟踪检查；现有安全措施的检查；系统输入输出控制的检查；软硬件维护制度及实施状况的检查；突发事件应对措施的检查；数据完整性保护措施的检查；物理环境的检查；审计追踪的检查。各种风险评估模式的比较如表6.1所示：表6.1各种风险评估模式的比较模式实施主体客观性复杂度周期保密性成本自评估依靠自身力量信息系统所有者主要依靠自身力量一般较低经常性好低委托第三方机构风险评估服务技术支持方较强高非经常性一般较高检查评估主管部门+风险评估服务技术支持方较强高非经常性较好低6.2角色与职责风险评估的角色一般分为主管部门、信息系统所有者、信息系统承建者、风险评估服务技术支持方、专家组五类。1. 主管部门主管部门是指信息化主管部门和行业主管部门。主管部门负责制定风险评估的政策、法规、标准，对重要信息系统和基础信息网络风险评估的实施进行督促、检查、指导；领导和组织风险评估工作；基于信息系统的特征以及风险评估的结果，判断信息系统残余风险是否可接受，并确定是否批准信息系统的投入运行；检查信息系统运行中产生的安全状态报告；定期或不定期地开展新的风险评估工作。2. 信息系统所有者明确信息系统安全需求及目标，组织实施风险评估的自评估工作；配合风险评估的检查评估工作；向主管部门提出新一轮风险评估的建议；改善信息安全防护措施，控制风险。3. 信息系统承建者在风险评估实施中，提供信息系统的建设工程的技术和质量文档，并提供相应的技术支持。根据对信息系统建设方案的风险评估结果，修订建设方案，使建设方案成本合理、积极有效地控制风险；规范建设，减少在建设阶段引入新的风险。4. 风险评估服务技术支持方（评估机构）风险评估服务技术支持方应具有专业的安全技术工作人员和项目管理人员，熟悉风险评估工作机制和相关技术，具有提供独立的风险评估服务技术支持能力；完成对信息系统中潜在威胁、脆弱性、威胁产生的影响、风险控制措施等进行评估，并判断风险控制措施的有效性及实现了这些措施后系统中存在的残余风险，给出调整建议，以减低风险，避免引入新的风险。为规范风险评估市场，保障各单位风险评估工作顺利进行，信息化主管部门根据我市的实际情况选择部分风险评估服务技术支持方作为我市开展风险评估活动的推荐单位，推荐单位名单将在信息化主管部门网站（）公布，并将根据风险评估工作实施情况定期更新。5. 专家组专家组由在信息安全领域或行业应用中具有权威技术水平的专家组成，负责在风险评估中提供相应的技术指导，对评估结果进行验收确认。图6.1说明了委托评估的相关角色的职责。图6.1委托评估的相关角色的职责不同形式的风险评估活动，依据其评估发起者、评估方、被评估方等的角色不同，目的不同，其适用情况也有所不同。表6.2 说明了自评估和检查评估两类评估形式的特点、适用情况和各类角色。评估形式自评估检查评估评估发起者信息系统所有者主管部门通常适用情况对自身的信息系统进行风险的识别、评价，从而进一步选择合适的控制措施，降低被评估信息系统的风险，可纳入整个组织安全管理体系的要求中。通常都是定期的、抽样进行的评估模式，旨在检查关键领域、或关键点的信息安全风险是否在可接受的范围内。特点优点：无论是信息系统所有者