信息安全風(fēng)險評估/管理相關(guān)國家標(biāo)準(zhǔn)介紹

謝宗曉（南開大學(xué)商學(xué)院）劉立科（中國重汽集團濟南橡塑件有限公司）

?

信息安全風(fēng)險評估/管理相關(guān)國家標(biāo)準(zhǔn)介紹

謝宗曉（南開大學(xué)商學(xué)院）
劉立科（中國重汽集團濟南橡塑件有限公司）

摘要：本文介紹了信息安全風(fēng)險評估/管理的相關(guān)標(biāo)準(zhǔn)，其中包括：（1）GB/T 20984—2007《信息安全技術(shù) 信息安全風(fēng)險評估規(guī)范》；（2）GB/Z 24364—2009《信息安全技術(shù) 信息安全風(fēng)險管理指南》；（3）GB/T 31509—2015《信息安全技術(shù)信息安全風(fēng)險評估實施指南》；（4）GB/T 31722—2015 / ISO/IEC 27005：2008《信息安全技術(shù)信息安全風(fēng)險管理》；（5）《信息安全技術(shù)信息安全風(fēng)險處理實施指南》（征求意見稿）。

關(guān)鍵詞：信息安全風(fēng)險評估風(fēng)險管理風(fēng)險應(yīng)對

謝宗曉　博士

“十二五”國家重點圖書出版規(guī)劃項目《信息安全管理體系叢書》執(zhí)行主編。自2003年起，從事信息安全風(fēng)險評估與信息安全管理體系的咨詢與培訓(xùn)工作。目前，已發(fā)表論文42篇，出版專著12本。

信息安全管理系列之十六

無論是信息安全管理體系（ISMS），還是信息系統(tǒng)安全等級保護，幾乎所有的信息安全管理最佳實踐都以風(fēng)險管理為基礎(chǔ)。信息安全風(fēng)險評估/管理實踐往往依據(jù)一系列的標(biāo)準(zhǔn)，下文中對與信息安全風(fēng)險評估/管理相關(guān)的國家標(biāo)準(zhǔn)做了大致的介紹。

謝宗曉（特約編輯）

表1　信息安全風(fēng)險評估/管理相關(guān)國家標(biāo)準(zhǔn)

一般而言，風(fēng)險應(yīng)對（風(fēng)險處理）不會作為單獨的標(biāo)準(zhǔn)出現(xiàn)，而是作為風(fēng)險管理標(biāo)準(zhǔn)的一部分。但是國家標(biāo)準(zhǔn)在實施指南的層次將信息安全風(fēng)險管理分成了兩個標(biāo)準(zhǔn)，分別為GB/T 31509—2015《信息安全技術(shù)信息安全風(fēng)險評估實施指南》和《信息安全技術(shù) 信息安全風(fēng)險處理實施指南》（征求意見稿）。

圖1　風(fēng)險分析原理圖

當(dāng)然，2012年9月發(fā)布的NIST SP 800-30 Rev1，新標(biāo)題為：Guide for Conducting Risk Assessments（風(fēng)險評估實施指南）。對比2002年版本標(biāo)題：Risk Management Guide for Information Technology Systems （IT系統(tǒng)風(fēng)險管理指南），也存在這種趨勢。

1　GB/T 20984—2007

GB/T 20984—2007是信息安全領(lǐng)域應(yīng)用最廣泛的國家標(biāo)準(zhǔn)之一，在風(fēng)險分析原理的基礎(chǔ)上，給出了風(fēng)險評估的實施流程。其中風(fēng)險分析原理如圖1所示。

在圖1的風(fēng)險分析原理中，標(biāo)識A，在所有的標(biāo)準(zhǔn)中基本都保持了一致，即風(fēng)險是可能性和影響的函數(shù)。脆弱性的嚴(yán)重程度同時影響安全事件可能性和損失的大小，標(biāo)識B強調(diào)損壞的程度，標(biāo)識C則強調(diào)利用的難易程度，當(dāng)然這兩者都可以稱為嚴(yán)重程度。在GB/T 20984—2007的“表10 脆弱性嚴(yán)重程度賦值表”中，脆弱性的難易程度沒有損壞程度描述的充分。在《Microsoft安全風(fēng)險管理指南》4））《Microsoft安全風(fēng)險管理指南》，發(fā)布于2004年，全文下載在https://technet.microsoft.com/。中有更細致的計算方式。

與ISO/IEC 27005：2008相似，在GB/T 20984—2007的5.4.1中也強調(diào)了“威脅總是要利用資產(chǎn)的脆弱性才可造成危害”，但標(biāo)準(zhǔn)中對威脅與脆弱性的賦值都是單獨進行的。

GB/T 20984—2007的風(fēng)險評估的實施步驟與NIST SP 800-30（2002年第1版）基本保持了一致，GB/T 20984—2007也描述了信息系統(tǒng)生命周期各階段的風(fēng)險評估。

2　GB/Z 24364—2009

GB/Z 24364—2009并沒有專注于描述流程，而是更關(guān)注文檔，因此對于信息安全風(fēng)險管理過程文檔的描述非常清晰，本文中不再做詳細的介紹5））信息安全風(fēng)險管理的國家標(biāo)準(zhǔn)正在升級，在《國家標(biāo)準(zhǔn)〈信息安全風(fēng)險評估實施指南〉（送審稿）編制說明》（正式發(fā)布后就是GB/T 31509—2015）的2.2中提到“結(jié)合國家信息中心正在編寫的《信息安全風(fēng)險管理規(guī)范》標(biāo)準(zhǔn)草案”。在后續(xù)的信息安全管理系列中，我們會陸續(xù)介紹。。

3　GB/T 31509—2015

GB/T 31509—2015是GB/T 20984—2007的操作性指導(dǎo)標(biāo)準(zhǔn)，從風(fēng)險評估工作開展的組織、管理、流程、文檔、審核等幾個方面進行了細化。

GB/T 31509—2015沿用了GB/T 20984—2007 的風(fēng)險評估流程，同時對GB/T 20984—2007中的“風(fēng)險評估的工作形式”和“信息系統(tǒng)生命周期內(nèi)的風(fēng)險評估”的內(nèi)容重新進行了說明，但篇幅大大縮減。

一個較為顯著的變化是，GB/T 31509—2015引用了GB/T 22239—2008《信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求》，在脆弱性識別的過程中，增加了“安全技術(shù)脆弱性核查”和“安全管理脆弱性核查”，在附錄中還給出了詳細的核查列表。

GB/T 31509—2015很有指導(dǎo)意義。

4　GB/T 31722—2015/ ISO/IEC 27005：2008

ISO/IEC 27005是信息安全管理體系（Information Security Management System，ISMS）標(biāo)準(zhǔn)族的重要標(biāo)準(zhǔn)之一，可以滿足ISO/IEC 27005中對風(fēng)險管理的要求。

ISO/IEC 27005最新版本為2011版（第2版）。由于ISO/IEC 27000標(biāo)準(zhǔn)族成員變動頻繁，導(dǎo)致ISO/ IEC 27005：2008存在一個問題，在討論的開始，首先就對風(fēng)險管理的過程與PDCA進行了映射，但是新版的ISO/IEC 27001：2013卻已經(jīng)棄用了PDCA 模型。

ISO/IEC 27005：2008有兩個顯著的特點：

（1）將威脅和脆弱性首次以成對的形式出現(xiàn)在附錄中。當(dāng)然，更早出現(xiàn)在其前身標(biāo)準(zhǔn)BS7799-36））BS 7799-3：2006Guidelines for information security risk management，在2008年成為國際標(biāo)準(zhǔn)之后，英國國家標(biāo)準(zhǔn)的標(biāo)識為：BS ISO/IEC 27005：2008。。由于威脅和脆弱性單獨都不足以形成風(fēng)險，因此對一個具體的組織而言，威脅脆弱性對的性質(zhì)才是關(guān)注的重點，而單一的威脅或脆弱性列表更適合做成字典表供選擇。

（2）開始考慮情境（context）7））Context詞匯的原意為“上下文”，在研究領(lǐng)域經(jīng)常翻譯為情境，實際上在此處就是上下文的意思。的建立。情境包括了一系列的內(nèi)容，例如，基本準(zhǔn)則、范圍和邊界以及信息安全風(fēng)險管理組織等，實際上就是包括了主要的準(zhǔn)備活動。在ISO/IEC 27001的2013版本中，也用了這個詞匯，在2005版中則沒有。

GB/T 31722—2015 / ISO/IEC 27005：2008中信息安全風(fēng)險管理過程由語境建立（第7章）、風(fēng)險評估（第8章）、風(fēng)險處置（第9章）、風(fēng)險接受（第10章）、風(fēng)險溝通（第11章）和風(fēng)險監(jiān)視與評審（第12章）組成，對每一個過程的描述非常清晰，依次劃分為：輸入、動作、實施指南和輸出。

5　信息安全風(fēng)險處理8））由于英文詞匯是risk treatment，可能引起歧義。在《意見匯總處理表》中有一條意見為 “風(fēng)險處理的定義還應(yīng)該進一步斟酌”，因此其中的相關(guān)詞匯可能會修改。實施指南

GB/T 20984—2007、GB/Z 24364—2009、GB/T 31509—2015和《信息安全技術(shù)信息安全風(fēng)險處理實施指南》這4個國家標(biāo)準(zhǔn)的第一起草單位都是國家信息中心。

《信息安全技術(shù)信息安全風(fēng)險處理實施指南》（征求意見稿）包括了三個階段的工作，分別為：風(fēng)險處理準(zhǔn)備階段、風(fēng)險處理實施階段和風(fēng)險處理效果評價階段。

第一個步驟是風(fēng)險處理準(zhǔn)備，確定風(fēng)險處理的范圍，明確風(fēng)險處理的依據(jù)，組建風(fēng)險處理團隊，設(shè)定風(fēng)險處理的目標(biāo)和可接受準(zhǔn)則，選擇風(fēng)險處理方式，明確風(fēng)險處理資源，形成風(fēng)險處理計劃，并得到管理層對風(fēng)險處理計劃的批準(zhǔn)。

第二個步驟是風(fēng)險處理實施，準(zhǔn)備風(fēng)險處理備選措施，進行成本效益分析和殘余風(fēng)險分析，對處理措施進行風(fēng)險分析并制定應(yīng)急計劃，編制風(fēng)險處理方案，待處理方案獲得批準(zhǔn)后，要對風(fēng)險處理措施進行測試，測試完成后，正式實施。在處理措施的實施過程中，要加強監(jiān)管與審核。

第三個步驟是風(fēng)險處理效果評價，制定評價原則和方案，開展評價實施工作，對沒有達到處理目的的風(fēng)險，要進行持續(xù)改進。風(fēng)險處理工作是持續(xù)性的活動，當(dāng)受保護系統(tǒng)的政策環(huán)境、業(yè)務(wù)目標(biāo)、安全目標(biāo)和特性發(fā)生變化時，需要再次進入上述步驟。

綜上所述，信息安全風(fēng)險評估/管理相關(guān)國家標(biāo)準(zhǔn)的概述如表2所示。

表2　信息安全風(fēng)險評估/管理相關(guān)國家標(biāo)準(zhǔn)的概述

參考文獻

［1］趙戰(zhàn)生，謝宗曉.信息安全風(fēng)險評估——概念、方法和實踐（第2版）［M］.北京：中國標(biāo)準(zhǔn)出版社，2016.

［2］謝宗曉.信息安全風(fēng)險管理相關(guān)詞匯定義與解析［J］.中國標(biāo)準(zhǔn)導(dǎo)報，2016（4）.

Introduction of Standards Related to Risk Assessment / Management

Xie Zongxiao （ Business School， Nankai University ）
Liu Like （ Sinotruk Jinan Rubber & Plastic Parts Co.， Ltd.）

Abstract:In this paper， we introduce standards related to risk assessment / management， including: （1）GB/T 20984—2007 Information security technology—Risk assessment specification for information security； （2） GB/Z 24364—2009 Information security technology—Guidelines for information security risk management； （3） GB/T 31509—2015 Information security technology—Guide of implementation for information security risk assessment； （4） GB/T 31722—2015 / ISO/IEC 27005: 2008Information technology—Security techniques—Information security risk management；（5） Information security technology—Guide of implementation for information security risk treatment.

Key words:information security， risk assessment， risk management， risk treatmentbook=31,ebook=33截至2015年12月，我國已經(jīng)發(fā)布的信息安全風(fēng)險評估/管理的相關(guān)國家標(biāo)準(zhǔn)如表1所示。