GB/T-英文版信息安全技术信息安全风险评估方法
提供更多标准英文版。
1范围
本文件描述了信息安全风险评估的基本概念﹑风险要素关系、风险分析原理、风险评估实施流程和评估方法,以及风险评估在信息系统生命周期不同阶段的实施要点和工作形式。
本文件适用于各类组织开展信息安全风险评估工作。
2规范性引用文件
下列文件中的内容通过文中的规范性引用面构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改版)适用于本文件。
GB/T信息安全技术术语
GB/T——信息安全技术信息安全风险处理实施指南
3术语和定义,缩略语
3.1术语和定义
GB/T界定的以及下列术语和定义适用于本文件。
3.1.1
信息安全风险informationsecurityrisk
特定威胁利用单个或一组资产脆弱性的可能性以及由此可能给组织带来的损害。注:它以事态的可能性及其后果的组合来度量。
[来源;GB/T——.3
3.1.2
风险评估riskassessment
风险识别.风险分析和风险评价的整个过程。[来源:GB/T——.2.7
注:本文什专指信息安全凤险评估。
3.1.3
组织organization
具有自身的职责.权威和关系以实现其目标的个人或集体。
注﹔组织的概念包括但不限于个体经营者,公司,法人.商行.企业,机关.合伙关系,慈善机构或院校,或者其部分或
组合,无论注册成立与否,是公共的还是私营的。
[来源:GB/T——.2.57,有修
3.1.4
业务business
组织为实现某项发展规划而开展的运营活动。注:该活动具有明确的目标,并延续一段时向。
3.1.5
安全需求securityrequirement
为保证组织业务规划的正常运作面在安全措施方面提出的要求。3.1.6
安全措施securitycontrol
保护资产,抵御威胁,减少脆弱性,降低安全事件的影响,以及打击信息犯罪而实施的各种实践,规程和机制。
3.1.7
信息系统生命周期informationsystemlifecycle
信息系统的各个生命阶段﹐包括规划阶段、设计阶段、实施阶段,运行维护阶段和废弃阶段。[来源:GB/T——,3.1.2]
3.1.8
自评估self-assessment
由评估对象所有者自身发起,组成机构内部的评估小组,依据国家有关法规与标准,对评估对象安全管理进行评估的活动。
[来源;GB/T——.3.2,有修改]3.1.9
检查评估inspectionassessment
由评估对象所有者的上级主管部门.业务主管部门或国家相关监管部门发起,依据国家有关法规与标准,对评估对象安全管理进行的评估活动。
[来源:GB/T——,3.3,有修改]
3.2缩略语
下列缩略语适用于本文件。
App;应用程序(Application)
IT:信息技术(InformationTechnology)PaaS:平台即服务(PlatformasaService)
UPS:不间断电源(UninterruptedPowerSupplyVPN:虚拟专用网络(VirtualPrivateNetwork)
4风险评估框架及流程
4.1风险要素关系
风险评估中基本要素的关系如图1所示。风险评估基本要素包括资产,威胁、脆弱性和安全措施,并基于以上要素开展风险评估。
3.1.5
安全需求securityrequirement
为保证组织业务规划的正常运作面在安全措旅方面提出的要求。
3.1.6
安全措施securitycontrol
保护资产,抵御威胁,减少脆弱性,降低安全事件的影响,以及打击信息犯罪而实施的各种实践、规程和机制。
3.1.7
信息系统生命周期informationsystemlifecycle
信息系统的各个生命阶段,包括规划阶段,设计阶段、实施阶段,运行维护阶段和废弃阶段。[来源:GB/T——,3.1.2]
3.1.8
自评估self-assessment
由评估对象所有者自身发起,组成机构内部的评估小组,依据国家有关法规与标准,对评估对象安全管理进行评估的活动。
[来源:GB/T—.3.2,有修改]
3.1.9
检查评估inspectionassessment
由评估对象所有者的上级主管部门.业务主管部门或国家相关监管部门发起,依据国家有关法规与标准,对评估对象安全管理进行的评估活动。
[来源;GB/T——,3.3,有修改]
3.2缩略语
下列缩略语适用于本文件。App:应用程序(Application)
IT:信息技术(InformationTechnology)PaaS:平台即服务(PlatformasaService)
UPS:不间断电源(UninterruptedPowerSupplyVPN:虚拟专用网络(VirtualPrivateNetwork)
4风险评估框架及流程
4.1风险要素关系
风险评估中基本要素的关系如图1所示。风险评估基本要素包括资产,威胁、脆弱性和安全措施,并基于以上要素开展风险评估。
5风险评估实施
5.1风险评估准备
组织实施风险评估是一种战略性的考虑,其结果将受到组织规划,业务,业务流程,安全需求,系统规模和结构等方面的影响。因此,在风险评估实施前应准备以下工作。
a)在考虑风险评估的工作形式.在生命周期中所处阶段和被评估单位的安全评估需求的基础上,确定风险评估目标。附录A给出了评估对象生命周期各阶段的风险评估内容,附录B给出了风险评估的工作形式描述。
b)确定风险评估的对象,范围和边界。
c)组建评估团队、明确评估工具。附录C给出了风险评估的工具。
d)开展前期调研。
e)确定评估依据。
f建立风险评价准则;组织应在考虑国家法律法规要求及行业背景和特点的基础上,建立风险评价准则,以实现对风险的控制与管理。
5.2风险识别5.2.1资产识别5.2.1.1―概述
资产识别是风险评估的核心环节。资产按照层次可划分为业务资产,系统资产,系统组件和单元资产,如图3所示。因此资产识别应从三个层次进行识别。
5.3风险分析
组织应在风险识别基础上开展风险分析,风险分析应:
a)根据威胁的能力和频率,以及脆弱性被利用难易程度,计算安全事件发生的可能性;
b)根据安全事件造成的影响程度和资产价值,计算安全事件发生后对评估对象造成的损失﹔c)根据安全事件发生的可能性以及安全事件发生后造成的损失,计算系统资产面临的风险值td)根据业务所涵盖的系统资产风险值踪合计算得出业务风险值。
具体风险计算过程见附录F。
5.4风险评价
5.4.1系统资产风险评价
根据风险评价准则对系统资产风险计算结果进行等级处理。表11给出了一种系统资产风险等级划分方法。
5.5沟通与协商
风险评估实施团队应在风险评估过程中与内部相关方和外部相关方保持沟通并对沟通内容予以记录,沟通的内容应包括:
a)为理解风险及相关问题和决策而就风险及其相关因素相互交流信息和意见;
b)相关方已表达的对风险事件的
转载请注明:http://www.0431gb208.com/sjszyzl/2111.html
