GB/T 20984-2007 信息安全技术 信息安全风险评估规范

中华人民共和国国家标准

ICS35.040

L80

GB/T20984—2007

信息安全技术

信息安全风险评估规范

Informationsecuritytechnology—

Riskassessmentspecificationforinformationsecurity

2007-06-14发布2007-11-01实施

中华人民共和国国家质量监督检验检疫总局

中国国家标准化管理委员会

发布

GB/T20984—2007

I

目次

前言.................................................................................II

引言................................................................................III

1范围................................................................................1

2规范性引用文件......................................................................1

3术语和定义..........................................................................1

4风险评估框架及流程..................................................................3

4.1风险要素关系......................................................................3

4.2风险分析原理......................................................................4

4.3实施流程..........................................................................4

5风险评估实施........................................................................5

5.1风险评估准备......................................................................5

5.2资产识别..........................................................................7

5.3威胁识别..........................................................................9

5.4脆弱性识别.......................................................................11

5.5已有安全措施确认.................................................................12

5.6风险分析.........................................................................12

5.7风险评估文档记录.................................................................14

6信息系统生命周期各阶段的风险评估...................................................15

6.1信息系统生命周期概述.............................................................15

6.2规划阶段的风险评估...............................................................15

6.3设计阶段的风险评估...............................................................15

6.4实施阶段的风险评估...............................................................16

6.5运行维护阶段的风险评估...........................................................16

6.6废弃阶段的风险评估...............................................................17

7风险评估的工作形式.................................................................17

7.1概述.............................................................................17

7.2自评估...........................................................................17

7.3检查评估.........................................................................17

附录A（资料性附录）风险的计算方法...................................................19

A.1使用矩阵法计算风险...............................................................19

A.2使用相乘法计算风险...............................................................22

附录B（资料性附录）风险评估的工具...................................................26

B.1风险评估与管理工具...............................................................26

B.2系统基础平台风险评估工具.........................................................27

B.3风险评估辅助工具.................................................................27

参考文献..........................................................................28

GB/T20984—2007

II

前言

（略）

GB/T20984—2007

III

引言

随着政府部门、金融机构、企事业单位、商业组织等对信息系统依赖程度的日益增强，信息安全问

题受到普遍关注。运用风险评估去识别安全风险，解决信息安全问题得到了广泛的认识和应用。

信息安全分析评估就是从风险管理角度，运用科学的方法和手段，系统地分析信息系统所面临的威

胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对

策和整改措施，为防范和化解信息安全风险，将风险控制在可接受的水平，最大限度地保障信息安全提

供科学依据。

信息安全风险评估作为信息安全保障工作的基础性工作和重要环节，要贯穿于信息系统的规划、设

计、实施、运行维护以及废弃各个阶段，是信息安全等级保护制度建设的重要科学方法之一。

本标准条款中所指的“风险评估”，其含义均为“信息安全风险评估”。

GB/T20984—2007

1

信息安全技术

信息安全风险评估指南

1范围

本标准提出了风险评估的基本概念、要素关系、分析原理、实施流程和评估方法，以及风险评估在

信息系统生命周期不同阶段的实施要点和工作形式。

本标准适用于规范组织开展的风险评估工作。

2规范性引用文件

下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注明日期的引用文件，其随后所

有的修改单（不包括勘误的内容）或修订版均不适用于本标准。然而，鼓励根据本标准达成协议的各方

研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。

GB/T9361计算站场地安全要求

GB17859-1999计算机信息系统安全保护等级划分准则

GB/T18336-2001信息技术安全技术信息技术安全性评估准则（idtISO/IEC15408:1999）

GB/T19716-2005信息技术信息安全管理实用规则(ISO/IEC17799:2000,MOD)

3术语和定义

下列术语和定义适用于本标准。

3.1

资产asset

对组织具有价值的信息或资源，是安全策略保护的对象。

3.2

资产价值assetvalue

资产的重要程度或敏感程度的表征。资产价值是资产的属性，也是进行资产识别的主要内容。

3.3

可用性availability

数据或资源的特性，被授权实体按要求能访问和使用数据或资源。

3.4

业务战略businessstrategy

组织为实现其发展目标而制定的一组规则或要求。

3.5

机密性confidentiality

数据所具有的特性，即表示数据所达到的未提供或未泄露给非授权的个人、过程或其他实体的程度。

3.6

信息安全风险informationsecurityrisk

人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造

GB/T20984—2007

2

成的影响。

3.7

（信息安全）风险评估（informationsecurity）riskassessment

依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性

和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可

能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。

3.8

信息系统informationsystem

由计算机及其相关的和配套的设备、设施(含网络)构成的，按照一定的应用目标和规则对信息进行

采集、加工、存储、传输、检索等处理的人机系统。

典型的信息系统由三部分组成：硬件系统（计算机硬件系统和网络硬件系统）；系统软件（计算机

系统软件和网络系统软件）；应用软件（包括由其处理、存储的信息）。

3.9

检查评估inspectionassessment

由被评估组织的上级主管机关或业务主管机关发起的，依据国家有关法规与标准，对信息系统及其

管理进行的具有强制性的检查活动。

3.10

完整性integrity

保证信息及信息系统不会被非授权更改或破坏的特性。包括数据完整性和系统完整性。

3.11

组织organization

由作用不同的个体为实施共同的业务目标而建立的结构。一个单位是一个组织，某个业务部门也可

以是一个组织。

3.12

残余风险residualrisk

采取了安全措施后，信息系统仍然可能存在的风险。

3.13

自评估self-assessment

由组织自身发起，依据国家有关法规与标准，对信息系统及其管理进行的风险评估活动。

3.14

安全事件securityincident

指系统、服务或网络的一种可识别状态的发生，它可能是对信息安全策略的违反或防护措施的失效，

或未预知的不安全状况。

3.15

安全措施securitymeasure

保护资产、抵御威胁、减少脆弱性、降低安全事件的影响，以及打击信息犯罪而实施的各种实践、

规程和机制。

GB/T20984—2007

3

3.16

安全需求securityrequirement

为保证组织业务战略的正常运作而在安全措施方面提出的要求。

3.17

威胁threat

可能导致对系统或组织危害的不希望事故潜在起因。

3.18

脆弱性vulnerability

可能被威胁所利用的资产或若干资产的薄弱环节。

4风险评估框架及流程

4.1风险要素关系

风险评估中各要素的关系如图1所示：

脆弱性资产价值

威胁

资产

风险安全需求

业务战略

安全事件残余风险安全措施

利用

暴露具有

成本

被满足

未控制可能诱发

演变

增加导出

依赖

增加

降低

抵御

未被满足

图1风险评估要素关系图

图1中方框部分的内容为风险评估的基本要素，椭圆部分的内容是与这些要素相关的属

性。风险评估围绕着资产、威胁、脆弱性和安全措施这些基本要素展开，在对基本要素的评估

过程中，需要充分考虑业务战略、资产价值、安全需求、安全事件、残余风险等与这些基本要

素相关的各类属性。

图1中的风险要素及属性之间存在着以下关系：

a）业务战略的实现对资产具有依赖性，依赖程度越高，要求其风险越小；

GB/T20984—2007

4

b）资产是有价值的，组织的业务战略对资产的依赖程度越高，资产价值就越大；

c）风险是由威胁引发的，资产面临的威胁越多则风险越大，并可能演变成为安全事件；

d）资产的脆弱性可能暴露资产的价值，资产具有的弱点越多则风险越大；

e）脆弱性是未被满足的安全需求，威胁利用脆弱性危害资产；

f）风险的存在及对风险的认识导出安全需求；

g）安全需求可通过安全措施得以满足，需要结合资产价值考虑实施成本；

h）安全措施可抵御威胁，降低风险；

i）残余风险有些是安全措施不当或无效,需要加强才可控制的风险；而有些则是在综合考虑了安全

成本与效益后不去控制的风险；

j）残余风险应受到密切监视，它可能会在将来诱发新的安全事件。

4.2风险分析原理

风险分析原理如图2所示：

威胁出现的频率

脆弱性的严重程度

资产价值

安全事件的可能性

安全事件的损失

风险值

威胁识别

脆弱性识别

资产识别

图2风险分析原理图

风险分析中要涉及资产、威胁、脆弱性三个基本要素。每个要素有各自的属性，资产的属性是资产

价值；威胁的属性可以是威胁主体、影响对象、出现频率、动机等；脆弱性的属性是资产弱点的严重程

度。风险分析的主要内容为：

a）对资产进行识别，并对资产的价值进行赋值；

b）对威胁进行识别，描述威胁的属性，并对威胁出现的频率赋值；

c）对脆弱性进行识别，并对具体资产的脆弱性的严重程度赋值；

d）根据威胁及威胁利用脆弱性的难易程度判断安全事件发生的可能性；

e）根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件的损失；

f）根据安全事件发生的可能性以及安全事件出现后的损失，计算安全事件一旦发生对组织的影响，

即风险值。

4.3实施流程

风险评估的实施流程如图3所示：

GB/T20984—2007

5

风险评估准备

保持已有的安全措施

威胁识别

已有安全措施的确认

风险计算

制定和实施风险处理

计划并评估残余风险

风险是否接受

是否接受残余风险

实施风险管理

资产识别脆弱性识别

评估过程文档

评估过程文档

评估过程文档

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

否

否

是

是

风险分析

风险评估文件记录

图3风险评估实施流程图

风险评估实施流程的详细说明见第5章。

5风险评估实施

5.1风险评估准备

5.1.1概述

风险评估的准备是整个风险评估过程有效性的保证。组织实施风险评估是一种战略性的考虑，其结

果将受到组织业务战略、业务流程、安全需求、系统规模和结构等方面的影响。因此，在风险评估实施

前，应：

a）确定风险评估的目标；

b）确定风险评估的范围；

c）组建适当的评估管理与实施团队；

d）进行系统调研；

e）确定评估依据和方法；

f）获得最高管理者对风险评估工作的支持。

5.1.2确定目标

根据满足组织业务持续发展在安全方面的需要、法律法规的规定等内容，识别现有信息系统及管理

上的不足，以及可能造成的风险大小。

GB/T20984—2007

6

5.1.3确定范围

风险评估范围可能是组织全部的信息及与信息处理相关的各类资产、管理机构，也可能是某个独

立的信息系统、关键业务流程、与客户知识产权相关的系统或部门等。

5.1.4组建团队

风险评估实施团队，由管理层、相关业务骨干、信息技术等人员组成的风险评估小组。必要时，可

组建由评估方、被评估方领导和相关部门负责人参加的风险评估领导小组，聘请相关专业的技术专家和

技术骨干组成专家小组。

评估实施团队应做好评估前的表格、文档、检测工具等各项准备工作，进行风险评估技术培训和保

密教育，制定风险评估过程管理相关规定。可根据被评估方要求，双方签署保密合同，必要时签署个人

保密协议。

5.1.5系统调研

系统调研是确定被评估对象的过程，风险评估小组应进行充分的系统调研，为风险评估依据和方法

的选择、评估内容的实施奠定基础。调研内容至少应包括：

a）业务战略及管理制度

b）主要的业务功能和要求

c）网络结构与网络环境，包括内部连接和外部连接；

d）系统边界；

e）主要的硬件、软件；

f）数据和信息；

g）系统和数据的敏感性；

h）支持和使用系统的人员；

i）其他。

系统调研可以采取问卷调查、现场面谈相结合的方式进行。调查问卷是提供一套关于管理或操作控

制的问题表格，供系统技术或管理人员填写；现场面谈则是由评估人员到现场观察并收集系统在物理、

环境和操作方面的信息。

5.1.6确定依据

根据系统调研结果，确定评估依据和评估方法。评估依据包括（但不限于）：

a）现行国际标准、国家标准、行业标准；

b）行业主管机关的业务系统的要求和制度；

c）系统安全保护等级要求；

d）系统互联单位的安全要求；

e）系统本身的实时性或性能要求等。

根据评估依据，应考虑评估的目的、范围、时间、效果、人员素质等因素来选择具体的风险计算方

法，并依据业务实施对系统安全运行的需求，确定相关的判断依据，使之能够与组织环境和安全要求相

适应。

5.1.7制定方案

风险评估方案的目的是为了后面的风险评估实施活动提供一个总体计划，用于指导实施方开展后续

工作。风险评估方案的内容一般包括（但不仅限于）：

a）团队组织：包括评估团队成员、组织结构、角色、责任等内容；

b）工作计划：风险评估各阶段的工作计划，包括工作内容、工作形式、工作成果等内容；

c）时间进度安排：项目实施的时间进度安排。

5.1.8获得支持

上述所有内容确定后，应形成较为完整的风险评估实施方案，得到组织最高管理者的支持、批准；

对管理层和技术人员进行传达，在组织范围就风险评估相关内容进行培训，以明确有关人员在风险评估

GB/T20984—2007

7

中的任务。

5.2资产识别

5.2.1资产分类

机密性、完整性和可用性是评价资产的三个安全属性。风险评估中资产的价值不是以资产的经济价

值来衡量，而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决

定的。安全属性达成程度的不同将使资产具有不同的价值，而资产面临的威胁、存在的脆弱性、以及已

采用的安全措施都将对资产安全属性的达成程度产生影响。为此，有必要对组织中的资产进行识别。

在一个组织中，资产有多种表现形式；同样的两个资产也因属于不同的信息系统而重要性不同，而

且对于提供多种业务的组织，其支持业务持续运行的系统数量可能更多。这时首先需要将信息系统及相

关的资产进行恰当的分类，以此为基础进行下一步的风险评估。在实际工作中，具体的资产分类方法可

以根据具体的评估对象和要求，由评估者灵活把握。根据资产的表现形式，可将资产分为数据、软件、

硬件、服务、人员等类型。表1列出了一种资产分类方法。

表1一种基于表现形式的资产分类方法

分类示例

数据

保存在信息媒介上的各种数据资料，包括源代码、数据库数据、系统文档、运行管理规程、

计划、报告、用户手册、各类纸质的文档等

软件

系统软件：操作系统、数据库管理系统、语句包、开发系统等

应用软件：办公软件、数据库软件、各类工具软件等

源程序：各种共享源代码、自行或合作开发的各种代码等

硬件

网络设备：路由器、网关、交换机等

计算机设备：大型机、小型机、服务器、工作站、台式计算机、便携计算机等

存储设备：磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘等

传输线路：光纤、双绞线等

保障设备：UPS、变电设备等、空调、保险柜、文件柜、门禁、消防设施等

安全保障设备：防火墙、入侵检测系统、身份鉴别等

其他：打印机、复印机、扫描仪、传真机等

服务

信息服务：对外依赖该系统开展的各类服务

网络服务：各种网络设备、设施提供的网络连接服务

办公服务：为提高效率而开发的管理信息系统，包括各种内部配置管理、文件流转管理等服

务

人员掌握重要信息和核心业务的人员，如主机维护主管、网络维护主管及应用项目经理等

其它企业形象、客户关系等

分类示例

服务

信息服务：对外依赖该系统开展的各类服务

网络服务：各种网络设备、设施提供的网络连接服务

办公服务：为提高效率而开发的管理信息系统，包括各种内部配置管理、文件流转管理等服

务

人员掌握重要信息和核心业务的人员，如主机维护主管、网络维护主管及应用项目经理等

其它企业形