网络安全风险评估实施基本流程
GB/T 20984-2007规定了风险评估实施流程,根据流程中的各项工作内容,一般将风险评估实施划分为评估准备、风险要素识别、风险分析与风险处置四个阶段。其中,评估准备阶段工作是对评估实施有效性的保证,是评估工作的开始;风险要素识别阶段工作主要是对评估活动中关键要素资产、威胁、脆弱性、安全措施进行识别与赋值;风险分析阶段工作主要是对识别阶段中获得的各类信息进行关联分析,并计算风险值;风险处理建议工作主要针对评估的风险,提出相应的处置建议,以及按处置建议实施安全加固后进行残余风险处置等内容。
标准主要起草人:范红、吴亚非、李京春、马朝斌、李嵩、应力、王宁、江常青、张鉴、赵敬宇。
http://std.samr.gov.cn/gb
http://c.gb688.cn/bzgk/gb/showGb?type=online&hcno=D7E8428EEFB1EBA4ED9AA78601AD5434
术语和定义
1.资产asset:对组织具有价值的信息或资源,是安全策略保护的对象。
2.资产价值asset value:资产的重要程度的表征。资产价值是资产的属性,也是进行资产识别的主要内容。
3.可用性availability:数据或资源的特性,被授权实体按要求能访问和使用数据或资源。
4.业务战略business strategy:组织国实现其发展目标而制定的一组规则或要求。
5.保密性confidentiality:数据所具有的特性,即表示数据所达到的未提供或未泄露给非制授权的个人、过程或其他实体的程度。
6.信息安全风险 information security risk:人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件及其对组织造成的影响。
7.(信息安全)风险评估(information security)risk assessment:依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件 的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。
8.信息系统 information system:由计算机及其相关的和配套设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
典型的信息系统由三部份组成:硬件系统(计算机硬件和网络硬件系统)、系统软件(计算机系统软件和网络系统软件)、应用软件(包括由其处理、存储的信息)。
9.检查评估 inspection assessment:由被评估组织的上级主管机关或业务主管机关发起的,依据国家有关法规与标准,对信息系统及其管理进行的强制性检查活动。
10.完整性 integrity:保证信息及信息系统不会被非授权更改或破坏的特性。包括数据完整性和系统完整性。
11.组织organizaion:由作用不同的个体为实施共同的业务目标而建立的结构。一个单位是一个组织,某个业务部门也是可以是一个组织。
12.残余风险 residual risk:采取了安全措施后,信息系统仍然存在风险。
13.自评估 self-assessment:由组织自身发起,依据国家有关法规与标准,对信息系统及其管理进行风险评估活动。
14.安全事件 security incident:系统、服务或网络的一种可识别状态的发生,它可能对信息安全策略的违反或防护措施的失效,或未预知的不安全状况。
15.安全措施 security measure:保护资产、抵御威胁、减少脆弱性、降低安全事件的影响,以及打击信息犯罪而实施的各种实践、规程和机制。
16.安全需求 security requirement:为保证组织业务战略的正常运作而在安全措施方面提出的要求。
17.威胁 threat:可能导致对系统或组织危害的不希望事故潜在起因。
18.脆弱性 vulnerablility:可能被威胁所利用的资产或若干资产的薄弱环节。