信息安全风险评估

字号：大中小

1 评估概述

信息安全风险评估是通过运用科学方法和手段，对风险管理对象所面临的风险进行识别、分析和评价的过程

评估过程中将系统地分析组织、业务或系统存在的脆弱性、面临的威胁，评估安全事件发生的可能性和影响程度，并对评估对象所面临的风险进行综合分析。提出有针对性的风险处置建议，防范和化解信息安全风险，将风险控制在可接受的水平，最大程度提升信息安全水平。

CFCA依据《GB/T 20984-2022 信息安全技术信息安全风险评估方法》对信息系统或者业务资产进行评估，该项工作是信息风险管理的重要内容之一，与信息系统等级保护、信息安全检查、信息安全建设等工作紧密相关，并通过风险识别、分析、评价为上述相关工作提供支持。

2 评估原则

（1）管理与技术检查相结合的原则。在组织机构、规章制度等安全管理检查的基础上，采用多种技术检测手段进行检查评估。

（2）全面普查与重点检查相结合的原则。在全面普查的基础上，对关键部位和环节进行深度重点检查。

（3）正向测试与反向渗透测试相结合的原则。在现场面对面检查评估的基础上，运用远程渗透测试技术开展背对背的检查评估。

（4）规范性原则。遵循《GB/T 20984-2022 信息安全技术信息安全风险评估方法》，参考《GB/T 31509-2015 信息安全技术信息安全风险评估实施指南》等标准。

（5）可控性原则。评估的工具、方法和过程要在双方认可的范围之内，安全评估的进度要跟上进度表的安排。

（6）针对性原则。紧密结合被评估信息系统的业务特点、实际环境及安全机制，制定评估工作方案。

（7）保密性原则。在评估前和评估过程中对评估数据严格保密，在评估结束后不可将评估中的数据用于任何有损被评估方利益的用途，双方签署保密协议。

3 参考标准

表3-1评估依据

序号	评估依据
1	GB/T 20984-2022 信息安全技术信息安全风险评估方法

表3-2参考标准

序号	参考标准
1	GB/T 31509-2015 信息安全技术信息安全风险评估实施指南
2	GB/T 31722-2015 信息技术安全技术信息安全风险管理
3	GB/Z 24364-2009 信息安全技术信息安全风险管理指南

4 实施流程

图：风险评估实施流程

风险评估的流程主要包括评估准备、风险识别、风险计算、风险评价四个阶段。

其中风险评估的准备包括确定风险评估的目标、确定风险评估的对象和范围、组建适当的评估管理与实施团队、对系统进行前期调研、确定评估依据和方法、制定风险评估实施方案等工作。

风险识别阶段包括资产识别、威胁识别、脆弱性识别、已有安全措施识别等核心内容。资产识别是风险评估的核心环节，资产按照层次包括业务资产、系统资产、系统组件和单元资产，威胁识别的内容包括威胁的来源、主体、种类、动机、时机和频率。已有安全措施识别内容包括预防性安全措施和保护性安全措施两种。脆弱性识别以资产为核心,针对每一项需要保护的资产,识别可能被威胁利用的脆弱性,并对脆弱性的严重程度进行评估;也可以从物理、网络、系统、应用等层次进行识别,然后与资产、威胁对应起来。脆弱性识别的依据可以是国际或国家安全标准,也可以是行业规范、应用流程的安全要求。对应用的相同的脆弱性，其影响程度是不同的，CFCA将从组织安全策略的角度考虑,判断资产在不同环境利用难易程度及其影响程度。

风险计算工作主要是在风险识别基础上开展风险分析，包括根据威胁的能力和频率，以及脆弱性被利用难易程度，计算安全事件发生的可能性；根据安全事件造成的影响程度和资产价值，计算安全事件发生后对评估对象造成的损失；根据安全事件发生的可能性以及安全事件发生后造成的损失，计算系统资产面临的风险值；根据业务所涵盖的系统资产风险值综合计算得出业务风险值。

风险评价主要是根据风险评价准则对资产风险计算结果进行等级处理。

5 客户收益

识别潜在的安全威胁：通过信息安全风险评估，可以发现潜在的安全威胁，提高企业或组织对信息安全风险的认识。

降低安全风险：信息系统风险安全评估可以发现业务或系统的脆弱性，帮助组织优化安全策略和流程，从而降低风险。

提升风险管理计划有效性：通过信息安全风险评估工作，可以提升风险管理计划的有效性，使企业或组织能够更好地识别、评估和管理信息安全风险。

提高信息安全意识：通过信息安全风险评估，可以提高企业或组织员工的信息安全意识，使其更加警惕和敏感于潜在的信息安全风险。

保护企业或组织资产：通过对信息安全风险的评估和管理，可以更好地保护企业或组织的信息资产，减少信息安全风险对企业或组织的影响。

遵守合规要求：在某些特定领域，监管机构要求组织进行信息安全风险管理，并需要定期或不定期（例如在新业务上线或发生重大变更时）进行信息安全风险评估，以满足合规性审查要求。