信息安全风险管理指南[全文].doc

GA/T ××××2001GA/T ××××20011></a>. 目次I目次 V前 言 1信息安全风险管理指南 11 范围 12 规范性引用文件 13 信息安全风险管理概述 13.1 信息安全风险管理的目的和意义 23.2 信息安全风险管理的范围和对象 33.3 信息安全风险管理的内容和过程 43.4 信息安全风险管理与信息系统生命周期和信息安全目标的关系 43.4.1 信息系统生命周期 43.4.2 信息安全目标 53.4.3 三者关系 63.5 信息安全风险管理的角色和责任 74 信息安全风险管理的对象确立 84.1 对象确立概述 84.1.1 对象确立的概念 84.1.2 对象确立的目的 84.1.3 对象确立的依据 84.2 对象确立过程 84.2.1 风险管理准备 94.2.2 信息系统调查 104.2.3 信息系统分析 104.2.4 信息安全分析 114.3 对象确立文档 115 信息安全风险管理的风险评估 125.1 风险评估概述 125.1.1 风险评估的概念 135.1.2 风险评估的方法和工具 135.1.3 风险评估的地位和意义 135.1.4 风险评估的作用范围 145.2 风险评估过程 145.2.1 风险评估准备 155.2.2 风险因素识别 165.2.3 风险程度分析 185.2.4 风险等级评价 195.3 风险评估文档 206 信息安全风险管理的风险控制 206.1 风险控制概述 206.1.1 风险控制的概念 206.1.2 风险控制的目的 206.1.3 风险控制的方式 216.1.4 风险控制的模型 216.1.5 风险控制的需求和措施 236.2 风险控制过程 246.2.1 现存风险判断 256.2.2 控制目标确立 266.2.3 控制措施选择 266.2.4 控制措施实施 276.3 风险控制文档 287 信息安全风险管理的审核批准 287.1 审核批准概述 287.1.1 审核批准的概念 287.1.2 审核批准的原则 287.2 审核批准过程 297.2.1 审核申请 307.2.2 审核处理 317.2.3 批准申请 327.2.4 批准处理 327.2.5 持续监督 337.3 审核批准文档 348 信息安全风险管理的监控与审查 358.1 监控与审查概述 358.1.1 监控与审查的概念 358.1.2 监控与审查的意义 358.1.3 监控与审查的内容 358.2 监控与审查过程 368.2.1 贯穿对象确立 368.2.2 贯穿风险评估 378.2.3 贯穿风险控制 388.2.4 贯穿审核批准 398.3 监控与审查文档 399 信息安全风险管理的沟通与咨询 399.1 沟通与咨询概述 399.1.1 沟通与咨询的概念 399.1.2 沟通与咨询的意义 399.1.3 沟通与咨询的目标 409.1.4 沟通与咨询的方式 419.2 沟通与咨询过程 419.2.1 贯穿对象确立 429.2.2 贯穿风险评估 439.2.3 贯穿风险控制 449.2.4 贯穿审核批准 449.3 沟通与咨询文档 4510 规划阶段的信息安全风险管理 4510.1 安全需求和目标 4510.2 风险管理的过程与活动 4510.2.1 风险管理过程概述 4610.2.2 明确安全总体方针 4710.2.3 安全需求分析 4710.2.4 风险评价准则达成一致 4811 设计阶段的信息安全风险管理 4811.1 安全需求和目标 4811.2 风险管理的过程和活动 4811.2.1 风险管理过程概述 4911.2.2 安全技术选择 4911.2.3 安全产品选型 4911.2.4 软件设计风险控制 5012 实施阶段的信息安全风险管理 5012.1 安全需求和目标 5012.2 风险管理的过程与活动 5012.2.1 风险管理过程概述 5112.2.2 检查与配置 5112.2.3 安全测试 5112.2.4 人员培训 5112.2.5 授权系统运行 5213 运维阶段的信息安全风险管理 5213.1 安全需求和目标 5213.2 风险管理的过程和活动 5313.2.1 风险管理过程概述 5313.2.2 安全运行和管理 5413.2.3 变更管理 5413.2.4 风险再评估 5413.2.5 定期重新审批 5414 废弃阶段的信息安全风险管理 5414.1 安全需求和目标 5414.2 风险管理的过程和活动 5514.2.1 风险管理过程概述 5514.2.2 确定废弃对象 5514.2.3 废弃对象的风险评估 5514.2.4 废弃过程的风险控制 5614.2.5 废弃后的评审 前 言为贯彻落实全国信息安全保障工作会议精神，根据采取必要措施进行信息安全风险防范的工作要求，制定本标准。本标准针对信息安全风险管理所涉及的对象确立、风险评估、风险控制、审核批准、沟通咨询等不同过程进行了综合性描述和规范，对信息安全风险管理在信息系统生命周期各阶段的应用作了系统阐述。本标准适用于信息安全保障体系建设中进行风险管理的有关组织和人员。也可为组织内部进行信息安全风险管理提供指导和参考。本标准可与国家其他相关标准结合使用。本标准包括以下一个标准文本：信息安全风险管理指南本标准由国务院信息化工作办公室提出。本标准由国务院信息化工作办公室归口。本标准起草单位：国家信息中心信息安全研究与服务中心、国家保密技术研究所、中科院信息安国家重点实验室、公安部三所等级保护评估中心、北京市测评认证中心、北京清华得实科技股份有限公司、凝瑞、山东科飞管理咨询有限公司、北京天融信网络安全技术有限公司、北京思乐信息技术有限公司、安氏互联网安全系统（中国）有限公司。本标准主要起草人：范红、闵京华、屈薇、李文生、李双成、王毅刚、孙铁、马朝斌、张玉清、孙涛、高志民。我们特别感谢在本标准起草过程中做出了重要贡献的人员，他们是：国信办贾颖禾研究员、解放军测评认证中心崔书昆研究员、中科院信息安全国家重点实验室赵战生教授、公安部十一局景乾元处长、国家保密技术研究所杜虹所长、国家信息中心宁家骏首席工程师、国家信息中心信息安全研究与服务中心吴亚非主任。本标准由XXX负责解释。 信息安全风险管理指南范围本标准规定了信息安全风险管理的内容和过程，并提供了信息系统生命周期不同阶段的信息安全风险管理措施，适用于信息系统的使用单位加强信息系统安全管理。规范性引用文件下列参考文档对于本标准的应用是必不可少的。有日期标识的参考标准，只有现行有效版本适用。没有日期标识的参考标准，最新版本适用。（1）信息安全风险评估指南(2)BS 7799-1:2000 信息技术信息安全管理实施细则（3）BS 7799-2:2002 信息安全管理体系规范及应用指南（4）ISO/IEC TR 13335 信息技术IT安全管理指导方针信息安全风险管理概述信息安全风险管理的目的和意义一个机构要利用其拥有的资产来完成其使命。在信息时代，信息成为第一战略资源，更是起着至关重要的作用。因此，信息资产的安全是关系到该机构能否完成其使命的大事。资产与风险是天生的一对矛盾，资产价值越高，面临的风险就越大。信息资产有着与传统资产不同的特性，面临着新型风险。信息安全风险管理的目的就是要缓解和平衡这一对矛盾，将风险控制到可接受的程度，保护信息及其相关资产，最终保证机构能够完成其使命。信息安全风险管理是信息安全保障工作中的一项基础性工作，主要表现在以下几方面：信息安全风险管理体现在信息安全保障体系的技术、组织和管理等方面。在信息安全保障体系中，技术是工具，组织是运作，管理是指导，它们紧密配合，共同实现信息安全保障的目标。信息安全保障体系的技术、组织和管理等方面都存在着相关风险，需要采用信息安全风险管理的方法加以控制。信息安全风险管理贯穿信息系统生命周期的全部过程。信息系统生命周期包括规划、设计、实施、运维和废弃五个阶段。每个阶段都存在着相关风险，同样需要采用信息安全风险管理的方法加以控制。信息安全风险管理依据等级保护的思想和适度安全的原则，平衡成本与效益，合理部署和利用信息安全的信任体系、监控体系和应急处理等重要的基础设施，确定合适的安全措施，从而确保机构具有完成其使命的信息安全保障能力。信息安全风险管理的范围和对象信息安全风险管理是基于风险的信息安全管理，也就是，始终以风险为主线进行信息安全的管理。信息安全的概念涵盖了信息、信息载体和信息环境三个方面的安全。信息指信息自身；信息载体指信息的承载体，包括物理平台、系统平台、通信平台、网络平台和应用平台；信息环境指信息及信息载体所处的环境，包括硬环境和软环境。信息、信息载体和信息环境是信息安全的三大类保护对象，其相互关系和详细内容如图1.1和表1.1所示。因此，信息安全是指由信息、信息载体和信息环境组成的信息系统的安全。图1.1 信息安全的保护对象及其定位关系表1.1 信息安全保护对象的分类和示例大类子类示例信息文本、图形、图片、音频、视频、动画、立体等形式。信息载体物理平台计算芯片（CPU、控制芯片、专用处理芯片等）、存储介质（内存、磁盘、光盘、磁带等）、通信介质（双绞线、同轴电缆、光纤、微波、红外线、卫星等）、人机界面（终端、键盘、鼠标、打印机、扫描仪、数字摄像机、数字放映机等）等硬件。系统平台操作系统、数据库系统等系统软件。通信平台通信协议及其软件。网络平台网络协议及其软件。应用平台应用协议及其软件。信息环境硬环境机房、电力、照明、温控、湿控、防盗、防火、防震、防水、防雷、防电磁辐射、抗电磁干扰等设施。软环境国家法律、行政法规、部门规章、政治经济、社会文化、思想意识、教育培训、人员素质、组织机构、监督管理、安全认证等方面。从概念上讲，信息安全风险管理涉及到信息安全上述三个方面（即信息、信息载体和信息环境）中包含的所有相关对象。对于一个具体的信息系统，信息安全风险管理主要涉及到该信息系统的关键和敏感部分。因此，根据实际信息系统的不同，信息安全风险管理的侧重点，即重点选择的风险管理范围和对象有所不同。信息安全风险管理的内容和过程信息安全风险管理包括对象确立（Objects Establishment）、风险评估（Risk Assessment）、风险控制（Risk Control）、审核批准（Audit &amp; Authorization）、监控与审查（Monitor &amp; Review）和沟通与咨询（Communication &amp; Consultation）六个方面的内容。对象确立、风险评估、风险控制和审核批准是信息安全风险管理的四个基本步骤，监控与审查和沟通与咨询则贯穿于这四个基本步骤中，如图1.2所示。图1.2 信息安全风险管理的内容和流程第一步骤是对象确立，根据要保护系统的业务目标和特性，确定风险管理对象。第二步骤是风险评估，针对确立的风险管理对象所面临的风险进行识别、分析和评价。第三步骤是风险控制，依据风险评估的结果，选择和实施合适的安全措施。第四步骤是审核批准，包括审核和批准两部分：审核是指通过审查、测试、评审等手段，检验风险评估和风险控制的结果是否满足信息系统的安全要求；批准是指机构的决策层依据审核的结果，做出是否认可的决定。当受保护系统的业务目标和特性发生变化或面临新的风险时，需要再次进入上述四个步骤，形成新的一次循环。因此，对象确立、风险评估、风险控制和审核批准构成了一个螺旋式上升的循环，使得受保护系统在自身和环境的变化中能够不断应对新的安全需求和风险。监控与审查对上述四个步骤进行监控和审查。监控是监视和控制，一是监视和控制风险管理过程，即过程质量管理，以保证上述四个步骤的过程有效性；二是分析和平衡成本效益，即成本效益管理，以保证上述四个步骤的成本有效性。审查是跟踪受保护系统自身或所处环境的变化，以保证上述四个步骤的结果有效性。监控与审查依据对当前步骤的监控和审查结果，控制上述四个步骤的主循环，形成许多局部循环。也就是说，在当前步骤的监控和审查结果通过时，进入下一个步骤；否则，继续当前步骤或退到前面的适当步骤。由此，保证主循环中各步骤的有效性。沟通与咨询为上述四个步骤的相关人员提供沟通和咨询。沟通是为上述过程参与人员提供交流途径，以保持他们之间的协调一致，共同实现安全目标。咨询是为上述过程所有相关人员提供学习途径，以提高他们的风险意识和知识，配合实现安全目标。信息安全风险管理与信息系统生命周期和信息安全目标的关系信息系统生命周期信息系统生命周期是某一信息系统从无到有，再到扬弃的整个过程，包括规划（Plan）、设计（Design）、实施（Implementation）、运维（Operation &amp; Maintenance）和废弃（Disposal）五个基本阶段。在规划阶段，确定信息系统的目的、范围和需求，分析和论证可行性，提出总体方案。在设计阶段，依据总体方案，设计信息系统的实现结构（包括功能划分、接口协议和性能指标等）和实施方案（包括实现技术、设备选型和系统集成等）。在实施阶段，按照实施方案，购买和检测设备，开发定制功能，集成、部署、配置和测试系统，培训人员等。在运维阶段，运行和维护系统，保证信息系统在自身和所处环境的变化中始终能够正常工作和不断升级。在废弃阶段，对信息系统的过时或无用部分进行报废处理。当信息系统的业务目标和需求或技术和管理环境发生变化时，需要再次进入上述五个阶段，形成新的一次循环。因此，规划、设计、实施、运维和废弃构成了一个螺旋式上升的循环，使得信息系统不断适应自身和环境的变化。信息安全目标信息安全目标就是要实现信息系统的基本安全特性（即信息安全基本属性），并达到所需的保障级别（Assurance Level）。信息安全基本属性包括保密性（Confidentiality）、完整性（Integrity）、可用性（Availability）、可追究性（Accountability）和抗否认性（Undeniability）等，每一属性都有相应的保障级别作为其强度的度量，如图1.3所示。图1.3 信息安全基本属性及其保障级别保密性指信息与信息系统不被非授权者所获取或利用的特性，包括数据保密和访问控制等方面。完整性指信息与信息系统真实、准确和完备，不被冒充、伪造和篡改的特性，包括身份真实、数据完整和系统完整等方面。可用性指信息与信息系统可被授权者在需要的时候访问和使用的特性。可追究性指从一个实体的行为能够唯一追溯到该实体的特性，可以支持故障隔离、攻击阻断和事后恢复等。抗否认性指一个实体不能够否认其行为的特性，可以支持责任追究、威慑作用和法律行动等。保障级别指保密性、完整性、可用性、可追究性和抗否认性在具体实现中达到的级别或强度，可以作为安全信任度的尺度。信息系统的安全保障级别主要是通过对信息系统进行安全测评和认证来确定的。三者关系信息安全风险管理与信息系统生命周期和信息安全目标均为直交关系，构成三维结构，如图1.4所示。图1.4 信息安全风险管理、信息系统生命周期和信息安全目标的三维结构关系第一维（X轴）表示信息安全风险管理，包括对象确立、风险评估、风险控制和审核批准四个基本步骤，以及贯穿这四个基本步骤的监控与审查和沟通与咨询。第二维（Y轴）表示信息系统生命周期，包括规划、设计、实施、运维和废弃五个基本阶段。第三维（Z轴）表示信息安全目标，包括保密性、完整性、可用性、可追究性和抗否认性五个信息安全基本属性，以及它们的保障级别。三者关系可简要表述为，信息系统生命周期的任何一个阶段，为了达到其信息安全目标，都需要相应的信息安全风险管理。三维结构关系表达了信息安全风险管理的整个过程分别体现在信息系统生命周期的各个阶段，且内容上分别反映各个阶段的特性及其信息安全目标。信息系统生命周期各阶段的特性及其信息安全目标的保障级别随行业特点的不同而不同，也就是说，不同的行业在信息系统生命周期的不同阶段，对信息安全基本属性（即保密性、完整性、可用性、可追究性和抗否认性）的要求和侧重不同。因此，可在本标准指导下开发行业的信息安全风险管理指南。信息安全风险管理的角色和责任信息安全风险管理是基于风险的信息系统安全管理。因此，信息安全风险管理涉及人员，既包括信息安全风险管理的直接参与人员，也包括信息系统的相关人员。表1.2对信息安全风险管理相关人员的角色和责任进行了归纳和分类。表1.2 信息安全风险管理相关人员的角色和责任层面信息系统信息安全风险管理角色内外部责任角色内外部责任决策层主管者内负责信息系统的重大决策。主管者内负责信息安全风险管理的重大决策。管理层管理者内负责信息系统的规划，以及建设、运行、维护和监控等方面的组织和协调。管理者内负责信息安全风险管理的规划，以及实施和监控过程中的组织和协调。执行层建设者内或外负责信息系统的设计和实施。执行者内或外负责信息安全风险管理的实施。运行者内负责信息系统的日常运行和操作。维护者内或外负责信息系统的日常维护，包括维修和升级。监控者内负责信息系统的监视和控制。监控者内负责信息安全风险管理过程、成本和结果的监视和控制。支持层专业者外为信息系统提供专业咨询、培训、诊断和工具等服务。专业者外为信息安全风险管理提供专业咨询、培训、诊断和工具等服务。用户层使用者内或外利用信息系统完成自身的任务。受益者内或外反馈信息安全风险管理的效果。信息安全风险管理的对象确立对象确立概述对象确立的概念对象确立是信息安全风险管理的第一步骤，根据要保护系统的业务目标和特性，确定风险管理对象。对象确立的目的对象确立是为了明确信息安全风险管理的范围和对象，以及对象的特性和安全要求。对象确立的依据机构的使命、业务、组织结构、管理制度和技术平台，以及国家、地区或行业的相关政策、法律、法规和标准都是对象确立的必要依据。对象确立过程对象确立的过程包括风险管理准备、信息系统调查、信息系统分析和信息安全分析四个阶段。在信息安全风险管理过程中，对象确立过程是一次信息安全风险管理主循环的起始，为风险评估提供输入，监控与审查和沟通与咨询贯穿其四个阶段，如图4.1所示。图4.1 对象确立过程及其在信息安全风险管理中的位置风险管理准备1、流程图4.2 风险管理准备阶段的流程及其输入输出2、说明如图4.2所示，风险管理准备阶段的工作流程和内容如下：1）制定风险管理计划。依据机构的使命，制定风险管理的实施计划，包括风险管理的目的、意义、范围、目标、组织结构、经费预算和进度安排等，形成风险管理计划书。风险管理计划书一般需要得到信息系统和信息安全风险管理决策层的认可和批准。信息系统调查1、流程图4.3 信息系统调查阶段的流程及其输入输出2、说明如图4.3所示，信息系统调查阶段的工作流程和内容如下：1）调查信息系统的业务目标。了解机构的使命，包括战略背景和战略目标等，从中明确支持机构完成其使命的信息系统的业务目标。2）调查信息系统的业务特性。了解机构的业务，包括业务内容和业务流程等，从中明确支持机构业务运营的信息系统的业务特性。3）调查信息系统的管理特性。了解机构的组织结构和管理制度，包括岗位设置、责任分配、规章制度、操作规程和人事管理等，从中明确支持机构业务运营的信息系统的管理特性。4）调查信息系统的技术特性。了解机构的技术平台，包括物理平台、系统平台、通信平台、网络平台和应用平台，从中明确支持机构业务运营的信息系统的技术特性。5）汇总上述调查结果，形成信息系统的描述报告，其中包含信息系统的业务目标、业务特性、管理特性和技术特性等方面的内容。信息系统的调查方式包括问卷回答、人员访谈、现场考察、辅助工具等多种形式，可以根据实际情况灵活采用和结合使用。信息系统分析1、流程图4.4 信息系统分析阶段的流程及其输入输出2、说明如图4.4所示，信息系统分析阶段的工作流程和内容如下：1）分析信息系统的体系结构。依据信息系统的描述报告，对信息系统的功能体系、数据体系、网络体系、运营体系和管理体系等方面进行分析，明确它们的内部结构和外部关系。2）分析信息系统的关键要素。依据信息系统的描述报告和上述体系结构的分析结果，找出信息系统中对机构使命具有关键和重要作用的部分，列出清单。3）汇总上述分析结果，形成信息系统的分析报告，其中包含信息系统的体系结构和关键要素等方面的内容。信息安全分析1、流程图4.5 信息安全分析阶段的流程及其输入输出2、说明如图4.5所示，信息安全分析阶段的工作流程和内容如下：1）分析信息系统的安全环境。依据国家、地区或行业的相关政策、法律、法规和标准，考虑合作伙伴的合同要求，对信息系统的安全保障环境进行分析，明确环境因素对信息系统安全方面的影响和要求。2）分析信息系统的安全要求。依据信息系统的描述报告和信息系统的分析报告，结合上述安全环境的分析结果，分析和提出对信息系统的安全要求，包括保护范围和保护等级等。3）汇总上述分析结果，形成信息系统的安全要求报告，其中包含信息系统的安全环境和安全要求等方面的内容。对象确立文档表4.1列出了对象确立过程的输出文档及其内容。表4.1 对象确立过程的输出文档及其内容阶段输出文档文档内容风险管理准备风险管理计划书风险管理的目的、意义、范围、目标、组织结构、经费预算和进度安排等。信息系统调查信息系统的描述报告信息系统的业务目标、业务特性、管理特性和技术特性等。信息系统分析信息系统的分析报告信息系统的体系结构和关键要素等。信息安全分析信息系统的安全要求报告信息系统的安全环境和安全要求等。信息安全风险管理的风险评估风险评估概述风险评估的概念风险评估是信息安全风险管理的第二步，针对确立的风险管理对象所面临的风险进行识别、分析和评价。安全风险（以下简称风险）是一种潜在的、负面的东西，处于未发生的状态。与之相对应，安全事件（以下简称事件）是一种显在的、负面的东西，处于已发生的状态。风险是事件产生的前提，事件是在一定条件下由风险演变而来的。图5.1给出了风险与事件之间的关系。图5.1 安全风险与安全事件之间的关系风险的构成包括五个方面：起源、方式、途径、受体和后果。起源是威胁的发起方，叫做威胁源；方式是威胁源实施威胁所采取的手段，叫做威胁行为；途径是威胁源实施威胁所利用的薄弱环节，叫做脆弱性或漏洞；受体是威胁的承受方，即资产；后果是威胁源实施威胁所造成的损失，叫做影响。它们之间的相互关系可表述为，风险的一个或多个起源（威胁源），采用一种或多种方式（威胁行为），通过一种或多种途径（脆弱性或漏洞），侵害一个或多个受体（资产），造成不良后果（影响）。图5.2描绘了风险的概念模型，可表述为，威胁源利用脆弱性，对资产实施威胁行为，造成负面影响。其中的虚线表示威胁行为和影响是潜在的，虽处于未发生状态，但具有发生的可能性。图5.2 风险的概念模型风险评估依据风险的概念模型做以下方面工作：评估前的准备工作，包括制定风险评估计划、确定风险评估程序、选择风险评估方法和工具等。识别需要保护的资产、面临的威胁和存在的脆弱性。在确认已有安全措施的基础上，分析威胁源的动机、威胁行为的能力、脆弱性的被利用性、资产的价值和影响的程度。分别对上述五个方面的分析结果进行评价，给出相应的等级划分，然后综合计算这五个方面的评价结果，最后得出风险的等级。风险评估是一项技术含量很高的安全管理活动，具有丰富的内容，可以作为单独的研究分支来考虑，详细内容参见信息安全风险评估指南。本标准将风险评估看作信息安全风险管理的一个组成部分来考虑。风险评估的方法和工具在风险评估的识别、分析和评价过程中，需要利用适当且有效的评估方法和评估工具。评估方法包括：定性评估方法和定量评估方法。专家系统和过程式算法。基本评估方法、非常评估方法、详细评估方法和综合评估方法。等。评估工具包括：综合性评估工具。脆弱性检测工具，如漏洞扫描等。渗透性测试工具，如黑客工具等。辅助性评估工具，如入侵监测系统、安全审计系统、漏洞库、安全知识库等。等。风险评估的地位和意义信息安全风险管理要依靠风险评估的结果来确定随后的风险控制和审核批准活动。风险评估使得机构能够准确“定位”风险管理的策略、实践和工具，能够将安全活动的重点放在重要的问题上，能够选择成本效益合理的和适用的安全对策。基于风险评估的风险管理方法被实践证明是有效的和实用的，已被广泛应用于各个领域。风险评估的作用范围风险评估只是为信息安全活动提供一个方向，并不会导致重大的信息安全改进。不管评估方法有多详细和多专业，也只能描述风险状态，而不会改进机构的安全状态。机构只有利用评估结果持续地进行改进活动，实现风险有效管理，才能使机构的安全状态得到改善。评估好坏的评价标准在于其对随后的风险控制和审核批准的指导作用，良好和确切的风险评估是成功的信息安全风险管理的基础。风险评估过程风险评估的过程包括风险评估准备、风险因素识别、风险程度分析和风险等级评价四个阶段。在信息安全风险管理过程中，接受对象确立的输出，为风险控制提供输入，监控与审查和沟通与咨询贯穿其四个阶段，如图5.3所示。图5.3 风险评估过程及其在信息安全风险管理中的位置风险评估准备1、流程图5.4 风险评估准备阶段的流程及其输入输出2、说明如图5.4所示，风险评估准备阶段的工作流程和内容如下：1）制定风险评估计划。依据对象确立输出的三个报告，即信息系统的描述报告、信息系统的分析报告和信息系统的安全要求报告，制定风险评估的实施计划，包括风险评估的目的、意义、范围、目标、组织结构、经费预算和进度安排等，形成风险评估计划书。风险评估计划书一般需要得到信息系统和信息安全风险管理决策层的认可和批准。2）确定风险评估程序。依据对象确立输出的三个报告，确定风险评估的实施程序，包括风险评估的工作流程、输入数据和输出结果等，形成风险评估程序。3）选择风险评估方法和工具。依据对象确立输出的三个报告以及风险评估计划和风险评估程序，从现有风险评估方法和工具库中选择合适的风险评估方法和工具，形成入选风险评估方法和工具列表。风险因素识别1、流程图5.5 风险因素识别阶段的流程及其输入输出2、说明如图5.5所示，风险因素识别阶段的工作流程和内容如下：1）识别需要保护的资产。依据对象确立输出的三个报告，即信息系统的描述报告、信息系统的分析报告和信息系统的安全要求报告，识别对机构使命具有关键和重要作用的需要保护的资产，形成需要保护的资产清单。2）识别面临的威胁。依据对象确立输出的三个报告，参照威胁库，识别机构的信息资产面临的威胁，形成面临的威胁列表。威胁库是有关威胁的外部共享数据和内部历史数据的汇集。3）识别存在的脆弱性。依据对象确立输出的三个报告，参照漏洞库，识别机构的信息资产存在的脆弱性，形成存在的脆弱性列表。漏洞库是有关脆弱性/漏洞的外部共享数据和内部历史数据的汇集。风险因素的识别方式包括文档审查、人员访谈、现场考察、辅助工具等多种形式，可以根据实际情况灵活采用和结合使用。风险程度分析1、流程图5.6 风险程度分析阶段的流程及其输入输出2、说明如图5.6所示，风险程度分析阶段的工作流程和内容如下：1）确认已有的安全措施。依据对象确立输出的三个报告，即信息系统的描述报告、信息系统的分析报告和信息系统的安全要求报告，确认已有的安全措施，包括技术层面（即物理平台、系统平台、通信平台、网络平台和应用平台）的安全功能、组织层面（即结构、岗位和人员）的安全控制和管理层面（即策略、规章和制度）的安全对策，形成已有安全措施分析报告。2）分析威胁源的动机。依据对象确立输出的三个报告和面临的威胁列表，从利益、复仇、好奇和自负等驱使因素，分析威胁源动机的强弱，形成威胁源分析报告。3）分析威胁行为的能力。依据对象确立输出的三个报告和面临的威胁列表，从攻击的强度、广度、速度和深度等方面，分析威胁行为能力的高低，形成威胁行为分析报告。4）分析脆弱性的被利用性。依据对象确立输出的三个报告、面临的威胁列表和存在的脆弱性列表，按威胁/脆弱性对，分析脆弱性被威胁利用的难以程度，形成脆弱性分析报告。5）分析资产的价值。依据对象确立输出的三个报告和需要保护的资产清单，从敏感性、关键性和昂贵性等方面，分析资产价值的大小，形成资产价值分析报告。6）分析影响的程度。依据对象确立输出的三个报告和需要保护的资产清单，从资产损失、使命妨碍和人员伤亡等方面，分析影响程度的深浅，形成影响程度分析报告。风险等级评价1、流程图5.7 风险等级评价阶段的流程及其输入输出2、说明如图5.7所示，风险等级评价阶段的工作流程和内容如下：1）评价威胁源动机的等级。依据威胁源分析报告，给出威胁源动机的等级，形成威胁源等级列表。2）评价威胁行为能力的等级。依据威胁行为分析报告，给出威胁行为能力的等级，形成威胁行为等级列表。3）评价脆弱性被利用的等级。依据脆弱性分析报告，给出脆弱性被利用的等级，形成脆弱性等级列表。4）评价资产价值的等级。依据资产价值分析报告，给出资产价值的等级，形成资产价值等级列表。5）评价影响程度的等级。依据影响程度分析报告，给出影响程度的等级，形成影响程度等级列表。6）综合评价风险的等级。汇总上述分析报告和等级列表，从风险评估算法库中选择合适的风险评估算法，综合评价风险的等级，形成风险评估报告。风险评估算法库是各种风险评估算法的汇集，包括公认算法和自创算法。评价等级级数可以根据评价对象的特性和实际评估的需要而定，如高、中、低三级，很高、较高、中等、较低、很低五级等。风险评估文档表5.1列出了风险评估过程的输出文档及其内容。表5.1 风险评估过程的输出文档及其内容阶段输出文档文档内容风险评估准备风险评估计划书风险评估的目的、意义、范围、目标、组织结构、经费预算和进度安排等。风险评估程序风险评估的工作流程、输入数据和输出结果等。入选风险评估方法和工具列表合适的风险评估方法和工具列表。风险因素识别需要保护的资产清单对机构使命具有关键和重要作用的需要保护的资产清单。面临的威胁列表机构的信息资产面临的威胁列表。存在的脆弱性列表机构的信息资产存在的脆弱性列表。风险程度分析已有安全措施分析报告确认已有的安全措施，包括技术层面（即物理平台、系统平台、通信平台、网络平台和应用平台）的安全功能、组织层面（即结构、岗位和人员）的安全控制和管理层面（即策略、规章和制度）的安全对策。威胁源分析报告从利益、复仇、好奇和自负等驱使因素，分析威胁源动机的强弱。威胁行为分析报告从攻击的强度、广度、速度和深度等方面，分析威胁行为能力的高低。脆弱性分析报告按威胁/脆弱性对，分析脆弱性被威胁利用的难以程度。资产价值分析报告从敏感性、关键性和昂贵性等方面，分析资产价值的大小。影响程度分析报告从资产损失、使命妨碍和人员伤亡等方面，分析影响程度的深浅。风险等级评价威胁源等级列表威胁源动机的等级列表。威胁行为等级列表威胁行为能力的等级列表。脆弱性等级列表脆弱性被利用的等级列表。资产价值等级列表资产价值的等级列表。影响程度等级列表影响程度的等级列表。风险评估报告汇总上述分析报告和等级列表，综合评价风险的等级。信息安全风险管理的风险控制风险控制概述风险控制的概念风险控制是信息安全风险管理的第三步骤，依据风险评估的结果，选择和实施合适的安全措施。风险控制的目的风险控制是为了将风险始终控制在可接受的范围内。风险控制的方式风险控制方式主要有规避、转移和降低三种方式，解释如下：规避方式。通过不使用面临风险的资产来避免风险。比如，在没有足够安全保障的信息系统中，不处理特别敏感的信息，从而防止敏感信息的泄漏。再如，对于只处理内部业务的信息系统，不使用互联网，从而避免外部的有害入侵和不良攻击。转移方式。通过将面临风险的资产或其价值转移更安全的地方来避免或降低风险。比如，在本机构不具备足够的安全保障的技术能力时，将信息系统的技术体系（即信息载体部分）外包给满足安全保障要求的第三方机构，从而避免技术风险。再如，通过给昂贵的设备上保险，将设备损失的风险转移给保险公司，