信息安全風(fēng)險評估服務(wù)流程圖 1 信息安全風(fēng)險評估流程圖目錄1 風(fēng)險評估概述 11.1 風(fēng)險評估的基本原則 11.1.1 標(biāo)準(zhǔn)性原則 11.1.2 關(guān)鍵業(yè)務(wù)原則 11.1.3 可控性原則 11.1.4 最小影響原則 11.2 風(fēng)險評估的基本流程 21.3 風(fēng)險評估的工作形式 22 評估準(zhǔn)備 22.1 概述 22.2 確定目標(biāo) 32.3 確定對象、范圍和邊界 32.4 組建團(tuán)隊(duì) 42.4.1 綜述 42.4.2 角色與職責(zé) 42.4.3 風(fēng)險評估領(lǐng)導(dǎo)小組 62.4.4 專家組 72.5 評估工作啟動會議 72.6 前期調(diào)研 72.7 確定依據(jù) 82.8 確定評估工具 82.9 制定方案 92.10 獲得支持 93 資產(chǎn)識別 93.1 資產(chǎn)識別概述 93.2 業(yè)務(wù)識別 103.2.1 業(yè)務(wù)識別內(nèi)容 103.2.2 業(yè)務(wù)重要性賦值 113.2.3 業(yè)務(wù)重要性賦值調(diào)整 113.3 系統(tǒng)資產(chǎn)識別 123.3.1 系統(tǒng)資產(chǎn)識別內(nèi)容 123.3.2 業(yè)務(wù)承載性賦值 123.3.3 系統(tǒng)資產(chǎn)價值賦值 133.1 系統(tǒng)組件和單元資產(chǎn)識別 133.1.1 系統(tǒng)組件和單元資產(chǎn)識別內(nèi)容 133.1.2 保密性賦值標(biāo)準(zhǔn) 143.1.3 完整性賦值標(biāo)準(zhǔn) 143.1.4 可用性賦值標(biāo)準(zhǔn) 153.1.5 系統(tǒng)組件和單元資產(chǎn)價值賦值標(biāo)準(zhǔn) 154 風(fēng)險分析 164.1 風(fēng)險分析模型 164.2 風(fēng)險計(jì)算方法 175 風(fēng)險評價 185.1 系統(tǒng)資產(chǎn)風(fēng)險等級劃分 185.1 業(yè)務(wù)風(fēng)險等級劃分 185.2 風(fēng)險評估報(bào)告 196 風(fēng)險處理 196.1 風(fēng)險處理原則 196.2 安全整改建議 206.3 組織評審會 206.4 殘余風(fēng)險評估 217 風(fēng)險評估文檔 221 風(fēng)險評估概述1.1 風(fēng)險評估的基本原則1.1.1 標(biāo)準(zhǔn)性原則信息系統(tǒng)的安全風(fēng)險評估，應(yīng)按照GB/T20984-2022中規(guī)定的評估流程進(jìn)行實(shí)施，包括各階段性的評估工作。

1.1.2 關(guān)鍵業(yè)務(wù)原則信息安全風(fēng)險評估應(yīng)以被評估組織的關(guān)鍵業(yè)務(wù)作為評估工作的核心，把涉及這些業(yè)務(wù)的相關(guān)網(wǎng)絡(luò)與系統(tǒng)，包括基礎(chǔ)網(wǎng)絡(luò)、業(yè)務(wù)網(wǎng)絡(luò)、應(yīng)用基礎(chǔ)平臺、業(yè)務(wù)應(yīng)用平臺等作為評估的重點(diǎn)1.1.3 可控性原則在風(fēng)險評估項(xiàng)目實(shí)施過程中，應(yīng)嚴(yán)格按照標(biāo)準(zhǔn)的項(xiàng)目管理方法對服務(wù)過程、人員和工具等進(jìn)行控制，以保證風(fēng)險評估實(shí)施過程的可控和安全a）服務(wù)可控性：評估方應(yīng)事先在評估工作溝通會議中向用戶介紹評估服務(wù)流程，明確需要得到被評估組織協(xié)作的工作內(nèi)容，確保安全評估服務(wù)工作的順利進(jìn)行b）人員與信息可控性：所有參與評估的人員應(yīng)簽署保密協(xié)議，以保證項(xiàng)目信息的安全；應(yīng)對工作過程數(shù)據(jù)和結(jié)果數(shù)據(jù)嚴(yán)格管理，未經(jīng)授權(quán)不得泄露給任何單位和個人c）過程可控性：應(yīng)按照項(xiàng)目管理要求，成立項(xiàng)目實(shí)施團(tuán)隊(duì)，項(xiàng)目組長負(fù)責(zé)制，達(dá)到項(xiàng)目過程的可控d）工具可控性：安全評估人員所使用的評估工具應(yīng)該事先通告用戶，并在項(xiàng)目實(shí)施前獲得用戶的許可，包括產(chǎn)品本身、測試策略等1.1.4 最小影響原則對于在線業(yè)務(wù)系統(tǒng)的風(fēng)險評估，應(yīng)采用最小影響原則，即首要保障業(yè)務(wù)系統(tǒng)的穩(wěn)定運(yùn)行，而對于需要進(jìn)行攻擊性測試的工作內(nèi)容，需與用戶溝通并進(jìn)行應(yīng)急備份，同時選擇避開業(yè)務(wù)的高峰時間進(jìn)行。

1.2 風(fēng)險評估的基本流程GB/T 20984--2022規(guī)定了風(fēng)險評估的實(shí)施流程，根據(jù)流程中的各項(xiàng)工作內(nèi)容，一般將風(fēng)險評估實(shí)施劃分為評估準(zhǔn)備、風(fēng)險識別、風(fēng)險分析與風(fēng)險評價四個階段其中，評估準(zhǔn)備階段工作是對評估實(shí)施有效性的保證，是評估工作的開始；風(fēng)險識別階段工作主要是對評估活動中的各類關(guān)鍵要素資產(chǎn)、威脅、脆弱性、安全措施進(jìn)行識別與賦值；風(fēng)險分析階段工作主要是對識別階段中獲得的各類信息進(jìn)行關(guān)聯(lián)分析，并計(jì)算風(fēng)險值；風(fēng)險評價階段工作主要是依據(jù)風(fēng)險評價準(zhǔn)則對系統(tǒng)資產(chǎn)風(fēng)險計(jì)算結(jié)果進(jìn)行等級化處理1.3 風(fēng)險評估的工作形式GB/T20984--2022明確了風(fēng)險評估的基本工作形式是自評估與檢查評估自評估是信息系統(tǒng)擁有、運(yùn)營或使用單位發(fā)起的對本單位信息系統(tǒng)進(jìn)行的風(fēng)險評估，可由發(fā)起方實(shí)施或委托信息安全服務(wù)組織支持實(shí)施實(shí)施自評估的組織可根據(jù)組織自身的實(shí)際需求進(jìn)行評估目標(biāo)的設(shè)立，采用完整或剪裁的評估活動檢查評估是信息系統(tǒng)上級管理部門或國家有關(guān)職能部門依法開展的風(fēng)險評估，檢查評估也可委托信息安全服務(wù)組織支持實(shí)施檢查評估除可對被檢查組織的關(guān)鍵環(huán)節(jié)或重點(diǎn)內(nèi)容實(shí)施抽樣評估外，還可實(shí)施完整的風(fēng)險評估信息安全風(fēng)險評估應(yīng)以自評估為主，自評估和檢查評估相互結(jié)合、互為補(bǔ)充。

2 評估準(zhǔn)備2.1 概述風(fēng)險評估的準(zhǔn)備是整個風(fēng)險評估過程有效性的保證組織實(shí)施風(fēng)險評估是一種戰(zhàn)略性的考慮，其結(jié)果將受到組織業(yè)務(wù)戰(zhàn)略、業(yè)務(wù)流程、安全需求、系統(tǒng)規(guī)模和結(jié)構(gòu)等方面的影響因此，在風(fēng)險評估實(shí)施前，應(yīng)：a） 確定風(fēng)險評估的目標(biāo)；b） 確定風(fēng)險評估的對象、范圍和邊界；c） 組建評估團(tuán)隊(duì)、明確評估工具；d）開展前期調(diào)研；e）確定評估依據(jù)；f）建立風(fēng)險評價準(zhǔn)則；g）制定評估方案；f）獲得最高管理者對風(fēng)險評估工作的支持2.2 確定目標(biāo)根據(jù)滿足組織業(yè)務(wù)持續(xù)發(fā)展在安全方面的需要、法律法規(guī)的規(guī)定等內(nèi)容，識別現(xiàn)有信息系統(tǒng)及管理上的不足，以及可能造成的風(fēng)險大小風(fēng)險評估應(yīng)貫穿于信息系統(tǒng)生命周期的各階段中，由于信息系統(tǒng)生命周期各階段中風(fēng)險評估實(shí)施的內(nèi)容、對象、安全需求均不同，因此應(yīng)根據(jù)當(dāng)前信息系統(tǒng)的實(shí)際情況來確定在信息系統(tǒng)生命周期中所處的階段，并以此來明確風(fēng)險評估目標(biāo)一般而言，組織確定的各階段的評估目標(biāo)應(yīng)符合以下原則：a）規(guī)劃階段風(fēng)險評估的目標(biāo)是識別系統(tǒng)的業(yè)務(wù)戰(zhàn)略，以支撐系統(tǒng)安全需求及安全戰(zhàn)略等規(guī)劃階段的評估應(yīng)能夠描述信息系統(tǒng)建成后對現(xiàn)有業(yè)務(wù)模式的作用，包括技術(shù)、管理等方面，并根據(jù)其作用確定系統(tǒng)建設(shè)應(yīng)達(dá)到的安全目標(biāo)。

b）設(shè)計(jì)階段風(fēng)險評估的目標(biāo)是根據(jù)規(guī)劃階段所明確的系統(tǒng)運(yùn)行環(huán)境、資產(chǎn)重要性，提出安全功能需求設(shè)計(jì)階段的風(fēng)險評估結(jié)果應(yīng)對設(shè)計(jì)方案中所提供的安全功能符合性進(jìn)行判斷.作為采購過程風(fēng)險控制的依據(jù)c) 實(shí)施階段風(fēng)險評估的目標(biāo)是根據(jù)系統(tǒng)安全需求和運(yùn)行環(huán)境對系統(tǒng)開發(fā)、實(shí)施過程進(jìn)行風(fēng)險識別，并對系統(tǒng)建成后的安全功能進(jìn)行驗(yàn)證根據(jù)設(shè)計(jì)階段分析的威脅和制定的安全措施，在實(shí)施及驗(yàn)收時進(jìn)行質(zhì)量控制d）運(yùn)行維護(hù)階段風(fēng)險評估的目標(biāo)是了解和控制運(yùn)行過程中的安全風(fēng)險評估內(nèi)容包括信息系統(tǒng)的資產(chǎn)、面臨威脅、自身脆弱性以及已有安全措施等各方面廢棄階段風(fēng)險評估的目標(biāo)是確保廢棄資產(chǎn)及殘留信息得到了適當(dāng)?shù)奶幹?，并對廢棄資產(chǎn)對組織的影響進(jìn)行分析，以確定是否會增加或引人新的風(fēng)險2.3 確定對象、范圍和邊界風(fēng)險評估范圍可能是組織全部的信息及與信息處理相關(guān)的各類資產(chǎn)、管理機(jī)構(gòu)，也可能是某個獨(dú)立的信息系統(tǒng)、關(guān)鍵業(yè)務(wù)流程、與客戶知識產(chǎn)權(quán)相關(guān)的系統(tǒng)或部門等在確定評估范圍后，結(jié)合已確定的評估目標(biāo)和組織的實(shí)際信息系統(tǒng)建設(shè)情況，定義評估對象和評估范圍邊界，評估范圍邊界的劃分原則主要為：a）業(yè)務(wù)系統(tǒng)的業(yè)務(wù)邏輯邊界；b）網(wǎng)絡(luò)及設(shè)備載體邊界；c）物理環(huán)境邊界；d）組織管理權(quán)限邊界；e）其他。

2.4 組建團(tuán)隊(duì)2.4.1 綜述風(fēng)險評估實(shí)施團(tuán)隊(duì)，由管理層、相關(guān)業(yè)務(wù)骨干、信息技術(shù)等人員組成的風(fēng)險評估小組必要時，可組建由評估方、被評估方領(lǐng)導(dǎo)和相關(guān)部門負(fù)責(zé)人參加的風(fēng)險評估領(lǐng)導(dǎo)小組，聘請相關(guān)專業(yè)的技術(shù)專家和技術(shù)骨干組成專家小組評估實(shí)施團(tuán)隊(duì)?wèi)?yīng)做好評估前的表格、文檔、檢測工具等各項(xiàng)準(zhǔn)備工作，進(jìn)行風(fēng)險評估技術(shù)培訓(xùn)和保密教育，制定風(fēng)險評估過程管理相關(guān)規(guī)定可根據(jù)被評估方要求，雙方簽署保密合同，必要時簽署個人保密協(xié)議2.4.2 角色與職責(zé)為確保風(fēng)險評估工作的順利有效進(jìn)行，應(yīng)采用合理的項(xiàng)目管理機(jī)制，主要相關(guān)成員角色與職責(zé)說明如表1和表2所示表1 風(fēng)險評估小組-評估機(jī)構(gòu)成員角色與職責(zé)說明評估機(jī)構(gòu)人員角色工作職責(zé)項(xiàng)目組長是風(fēng)險評估項(xiàng)目中實(shí)施方的管理者、責(zé)任人，具體工作職責(zé)包括：1）根據(jù)項(xiàng)目情況組建評估項(xiàng)目實(shí)施團(tuán)隊(duì)；2）根據(jù)項(xiàng)目情況與被評估方一起確定評估目標(biāo)和評估范圍，并組織項(xiàng)目組成員對被評估方實(shí)施系統(tǒng)調(diào)研；3）根據(jù)評估目標(biāo)、評估范圍及系統(tǒng)調(diào)研的情況確定評估依據(jù)，并組織編寫評估方案；4）組織項(xiàng)目組成員開展風(fēng)險評估各階段的工作，并對實(shí)施過程進(jìn)行監(jiān)督、協(xié)調(diào)和控制，確保各階段工作的有效實(shí)施；5）與被評估組織進(jìn)行及時有效的溝通，及時商討項(xiàng)目進(jìn)展?fàn)顩r及可能發(fā)生問題的預(yù)測等；6）組織項(xiàng)目組成員將風(fēng)險評估各階段的工作成果進(jìn)行匯總，編寫《風(fēng)險評估報(bào)告》與《安全整改建議書》等項(xiàng)目成果物；7）負(fù)責(zé)將項(xiàng)目成果物移交被評估組織，向被評估組織匯報(bào)項(xiàng)目成果，并提請項(xiàng)目驗(yàn)收。

安全技術(shù)評估人員是負(fù)責(zé)風(fēng)險評估項(xiàng)目中技術(shù)方面評估工作的實(shí)施人員具體工作職責(zé)包括：1）根據(jù)評估目標(biāo)與評估范圍的確定參與系統(tǒng)調(diào)研.并編寫《系統(tǒng)調(diào)研報(bào)告》的技術(shù)部分內(nèi)容；2）參與編寫《評估方案》；3）遵照《評估方案》實(shí)施各階段具體的技術(shù)性評估工作，主要包括：信息資產(chǎn)調(diào)查、威脅調(diào)查、安全技術(shù)脆弱性核查等；4）對評估工作中遇到的問題及時向項(xiàng)目組長匯報(bào).并提出需要協(xié)調(diào)的資源；5）將各階段的技術(shù)性評估工作成果進(jìn)行匯總，參與編寫《風(fēng)險評估報(bào)告》與《安全整改建議書》等項(xiàng)目成果物；6）負(fù)責(zé)向被評估方解答項(xiàng)目成果物中有關(guān)技術(shù)性細(xì)節(jié)問題安全管理評估人員是負(fù)責(zé)風(fēng)險評估項(xiàng)目中管理方面評估工作的實(shí)施人員具體工作職責(zé)包括：1）根據(jù)評估目標(biāo)與評估范圍的確定參與系統(tǒng)調(diào)研，并編寫《系統(tǒng)調(diào)研報(bào)告》的管理部分內(nèi)容；2）參與編寫《評估方案》；.3）遵照《評估方案》實(shí)施各階段具體的管理性評估工作，主要包括：信息資產(chǎn)調(diào)查、威脅調(diào)查、安全管理脆弱性核查等；4）對評估工作中遇到的問題及時向項(xiàng)目組長匯報(bào)，并提出需要協(xié)調(diào)的資源；5）將各階段的管理性評估工作成果進(jìn)行匯總，參與編寫《風(fēng)險評估報(bào)告》與《安全整改建議書》等項(xiàng)目成果物；6）負(fù)責(zé)向被評估方解答項(xiàng)目成果物中有關(guān)管理性細(xì)節(jié)問題。

質(zhì)量管控員是負(fù)責(zé)風(fēng)險評估項(xiàng)目中質(zhì)量管理的人員具體工作職責(zé)包括：1）監(jiān)督審計(jì)各階段工作的實(shí)施進(jìn)度與時間進(jìn)度.對可能出現(xiàn)的影響項(xiàng)目進(jìn)度的問題及時通告項(xiàng)目組長；2）負(fù)責(zé)對項(xiàng)目文檔進(jìn)行管控表2 風(fēng)險評估小組-被評估組織成員角色與職責(zé)說明被評估組織人員角色工作職責(zé)項(xiàng)目組長是風(fēng)險評估項(xiàng)目中被評估組織的管理者具體工作職責(zé)包括：1）與評估機(jī)構(gòu)的項(xiàng)目組長進(jìn)行工作協(xié)調(diào)；2）組織本單位的項(xiàng)目組成員在風(fēng)險評估各階段活動中的配合工作；3）組織本單位的項(xiàng)日組成員對項(xiàng)目過程中實(shí)施方提交的評估信息、數(shù)據(jù)及文檔資料等進(jìn)行確認(rèn)，對出現(xiàn)的偏離及時指正；4）組織本單位的項(xiàng)目組成員對評估機(jī)構(gòu)提交的《風(fēng)險評估報(bào)告》與《安全整改建議書》等項(xiàng)目成果物進(jìn)行審閱；5）組織對風(fēng)險評估項(xiàng)目進(jìn)行驗(yàn)收；6）可授權(quán)項(xiàng)目協(xié)調(diào)人負(fù)責(zé)各階段性工作，代理實(shí)施自己的職責(zé)信息安全管理人員是指被評估組織的專職信息安全管理人員在風(fēng)險評估項(xiàng)目中的具體工作職責(zé)包括：1）在項(xiàng)目組長的安排下，配合評估機(jī)構(gòu)在風(fēng)險評估各階段中的工作；2）參與對評估機(jī)構(gòu)提交的《評估方案》進(jìn)行研討；3）參與對項(xiàng)目過程中實(shí)施方提交的評估信息、數(shù)據(jù)及文檔資料等進(jìn)行確認(rèn)，及時指正出現(xiàn)的偏離；4）參與對評估機(jī)構(gòu)提交的《風(fēng)險評估報(bào)告》與《安全整改建議書》等項(xiàng)目成果物進(jìn)行審閱；5）參與對風(fēng)險評估項(xiàng)目的驗(yàn)收。

項(xiàng)目協(xié)調(diào)人是指風(fēng)險評估項(xiàng)目中被評估組織的工作協(xié)調(diào)人員具體工作職責(zé)是負(fù)責(zé)與被評估組織各級部門之間的信息溝通，及時協(xié)調(diào)、調(diào)動相關(guān)。