GB_T 20984-2022信息安全技术信息安全风险评估方法.docx

《GB_T 20984-2022信息安全技术信息安全风险评估方法.docx》由会员分享，可在线阅读，更多相关《GB_T 20984-2022信息安全技术信息安全风险评估方法.docx（49页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、ICS 35.030CCS L 80中 华 人 民 共 和 国 国 家 标 准GB/T 209842022代替 GB/T 209842007信息安全技术 信息安全风险评估方法Information security technologyRisk assessment method forinformation security2022-04-15发布2022-11-01 实施国家市场监督管理总局 国 家 标 准 化 管 理 委 员 会发 布GB/T 209842022目 次前言 I1 范围 12 规范性引用文件 13 术语和定义、缩略语 13.1 术语和定义 13.2 缩略语 24 风险评估框

2、架及流程 24.1 风险要素关系 24.2 风险分析原理 34.3 风险评估流程 35 风险评估实施 45.1 风险评估准备 45.2 风险识别 55.3 风险分析 115.4 风险评价 115.5 沟通与协商 135.6 风险评估文档记录 13附录 A(资料性)评估对象生命周期各阶段的风险评估 14附录B(资料性)风险评估的工作形式 17附录C(资料性)风险评估的工具 18附录D(资料性)资产识别 21附录E(资料性)威胁识别 23附录F(资料性)风险计算示例 26参考文献 27GB/T 209842022信息安全技术 信息安全风险评估方法1 范围本文件描述了信息安全风险评估的基本概念、风险

3、要素关系、风险分析原理、风险评估实施流程和评估方法，以及风险评估在信息系统生命周期不同阶段的实施要点和工作形式。本文件适用于各类组织开展信息安全风险评估工作。2 规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文 件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本(包括所有的修改版)适用于本文件。GB/T 25069 信息安全技术 术语GB/T 331322016 信息安全技术 信息安全风险处理实施指南3 术语和定义、缩略语3.1 术语和定义GB/T 25069 界定的以及下列术语和定义适用于本文件。3.1.1信息安全风险 inf

4、ormation security risk特定威胁利用单个或一组资产脆弱性的可能性以及由此可能给组织带来的损害。注：它以事态的可能性及其后果的组合来度量。来源：GB/T 317222015,3.23.1.2风险评估 risk assessment风险识别、风险分析和风险评价的整个过程。来源：GB/T 292462017,2.71注：本文件专指信息安全风险评估。3.1.3组织 organization具有自身的职责、权威和关系以实现其目标的个人或集体。注：组织的概念包括但不限于个体经营者、公司、法人、商行、企业、机关、合伙关系、慈善机构或院校，或者其部分或组合，无论注册成立与否、是公共的还是私

5、营的。来源：GB/T 292462017,2.57,有修改3.1.4业务 business组织为实现某项发展规划而开展的运营活动。注：该活动具有明确的目标，并延续一段时间。1GB/T 2098420223.1.5安全需求 security requirement为保证组织业务规划的正常运作而在安全措施方面提出的要求。3.1.6安全措施 security control保护资产、抵御威胁、减少脆弱性、降低安全事件的影响，以及打击信息犯罪而实施的各种实践、规程和机制。3.1.7信息系统生命周期 information system lifecycle信息系统的各个生命阶段，包括规划阶段、设计阶段、

6、实施阶段、运行维护阶段和废弃阶段。来源：GB/T 315092015,3.1.23.1.8自评估 self-assessment由评估对象所有者自身发起，组成机构内部的评估小组，依据国家有关法规与标准，对评估对象安全管理进行评估的活动。来源：GB/T 284532012,3.2,有修改3.1.9检查评估 inspection assessment由评估对象所有者的上级主管部门、业务主管部门或国家相关监管部门发起，依据国家有关法规与标准，对评估对象安全管理进行的评估活动。来源：GB/T 284532012,3.3,有修改3.2 缩略语下列缩略语适用于本文件。App: 应用程序(Applicati

7、on)IT:信息技术(Information Technology)PaaS:平台即服务(Platform as a Service)UPS: 不间断电源(Uninterrupted Power Supply)VPN: 虚拟专用网络(Virtual Private Network)4 风险评估框架及流程4.1 风险要素关系风险评估中基本要素的关系如图1所示。风险评估基本要素包括资产、威胁、脆弱性和安全措施，并基于以上要素开展风险评估。2GB/T 2098420223存在脆弱性标引序号说明： 风险要素； 要素关系；风险。导致资产潜在影响风险降低利用一保护安全措施抵御威胁图 1 风险要素及其关系开

8、展风险评估时，基本要素之间的关系如下：a) 风险要素的核心是资产，而资产存在脆弱性；b) 安全措施的实施通过降低资产脆弱性被利用难易程度，抵御外部威胁，以实现对资产的保护；c) 威胁通过利用资产存在的脆弱性导致风险；d) 风险转化成安全事件后，会对资产的运行状态产生影响。风险分析时，应综合考虑资产、脆弱性、威胁和安全措施等基本因素。4.2 风险分析原理风险分析原理如下：a) 根据威胁的来源、种类、动机等，并结合威胁相关安全事件、日志等历史数据统计，确定威胁的 能力和频率；b) 根据脆弱性访问路径、触发要求等，以及已实施的安全措施及其有效性确定脆弱性被利用难易 程度；c) 确定脆弱性被威胁利用导

9、致安全事件发生后对资产所造成的影响程度；d) 根据威胁的能力和频率，结合脆弱性被利用难易程度，确定安全事件发生的可能性；e) 根据资产在发展规划中所处的地位和资产的属性，确定资产价值；f) 根据影响程度和资产价值，确定安全事件发生后对评估对象造成的损失；g) 根据安全事件发生的可能性以及安全事件造成的损失，确定评估对象的风险值；h) 依据风险评价准则，确定风险等级，用于风险决策。4.3 风险评估流程风险评估的实施流程如图2所示。风险评估流程应包括如下内容。a) 评估准备，此阶段应包括：1) 确定风险评估的目标；2) 确定风险评估的对象、范围和边界；3) 组建评估团队；4) 开展前期调研；5)

10、确定评估依据；N评佔准备评估过程文档风险 识别资产识别已有安全 措施识别脆弱性识 别威胁识别风险分析评佔过程 文档风险评价GB/T 209842022沟通与协商图 2 风险评估实施流程图6) 建立风险评价准则；7) 制定评估方案。组织应形成完整的风险评估实施方案，并获得组织最高管理者的支持和批准。b) 风险识别，此阶段应包括：1) 资产识别(见5.2.1);2) 威胁识别(见5.2.2);3) 已有安全措施识别(见5.2.3);4) 脆弱性识别(见5.2.4)。c) 风险分析，此阶段依据识别的结果计算得到风险值。d) 风险评价，此阶段依据风险评价准则确定风险等级。沟通与协商和评估过程文档管理贯

11、穿于整个风险评估过程。风险评估工作是持续性的活动，当评估对象的政策环境、外部威胁环境、业务目标、安全目标等发生变化时，应重新开展风险评估。风险评估的结果能够为风险处理提供决策支撑，风险处理是指对风险进行处理的一系列活动，如接受风险、规避风险、转移风险、降低风险等。风险处理按照GB/T 331322016开展。5 风险评估实施5.1 风险评估准备组织实施风险评估是一种战略性的考虑，其结果将受到组织规划、业务、业务流程、安全需求、系统规模和结构等方面的影响。因此，在风险评估实施前应准备以下工作。a) 在考虑风险评估的工作形式、在生命周期中所处阶段和被评估单位的安全评估需求的基础上， 确定风险评估目

12、标。附录 A 给出了评估对象生命周期各阶段的风险评估内容，附录 B 给出了 风险评估的工作形式描述。b) 确定风险评估的对象、范围和边界。c) 组建评估团队、明确评估工具。附录 C 给出了风险评估的工具。d) 开展前期调研。e) 确定评估依据。f) 建立风险评价准则：组织应在考虑国家法律法规要求及行业背景和特点的基础上，建立风险评 价准则，以实现对风险的控制与管理。4GB/T 209842022风险评价准则应满足以下要求：1) 符合组织的安全策略或安全需求；2) 满足利益相关方的期望；3) 符合组织业务价值。建立风险评价准则的目的包括但不限于：4) 对风险评估的结果进行等级化处理；5) 能实现

13、对不同风险的直观比较；6) 能确定组织后期的风险控制策略。g) 制定评估方案。h) 获得最高管理者支持。评估方案需得到组织最高管理者的支持和批准。5.2 风险识别5.2.1 资产识别5.2.1.1 概述资产识别是风险评估的核心环节。资产按照层次可划分为业务资产、系统资产、系统组件和单元资产，如图3所示。因此资产识别应从三个层次进行识别。系统资产 系统组件和单元资产通信网络数据资源信息系统其他资产人力资源通信网络系统组件系统单元其他资产人力资源数据资源系统组件系统单元其他资产人力资源信息系统系统组件系统单元业务资产资产组织业务业务图 3 资产层次图5.2.1.2 业务识别5.2.1.2.1 识别

14、内容业务是实现组织发展规划的具体活动，业务识别是风险评估的关键环节。业务识别内容包括业务 的属性、定位、完整性和关联性识别。业务识别主要识别业务的功能、对象、流程和范围等。业务的定位 主要识别业务在发展规划中的地位。业务的完整性主要识别其为独立业务或非独立业务。业务的关联性识别主要识别与其他业务之间的关系。表1提供了一种业务识别内容的参考。GB/T 209842022表 1 业务识别内容表识别内容示 例属性业务功能、业务对象、业务流程、业务范围、覆盖地域等定位发展规划中的业务属性和职能定位、与发展规划目标的契合度、业务布局中的位置和作用、竞争关系中竞争力强弱等完整性独立业务：业务独立，整个业务

15、流程和环节闭环非独立业务：业务属于业务环节的某一部分，可能与其他业务具有关联性关联性关联类别：并列关系(业务与业务间并列关系包括业务间相互依赖或单向依赖，业务间共用同一信息 系统，业务属于同一业务流程的不同业务环节等)、父子关系(业务与业务之间存在包含关系等)、间接关系(通过其他业务，或者其他业务流程产生的关联性等)关联程度：如果被评估业务遭受重大损害，将会造成关联业务无法正常开展，此类关联为紧密关联，其他为非紧密关联业务识别数据应来自熟悉组织业务结构的业务人员或管理人员。业务识别既可通过访谈、文档查阅、资料查阅，还可通过对信息系统进行梳理后总结整理进行补充。5.2.1.2.2 业务重要性赋值

16、应根据业务的重要程度进行等级划分，并对其重要性进行赋值。表2提供了一种业务重要性赋值的参考。表 2 业务重要性赋值表赋值标识定义5很高业务在规划中极其重要，在发展规划中的业务属性及职能定位层面具有重大影响，在规划的发展目标层面中短期目标或长期目标中占据极其重要的地位4高业务在规划中较为重要，在发展规划中的业务属性及职能定位层面具有较大影响，在规划的发展目标层面中短期目标或长期目标中占据极其重要的地位3中等业务在规划中具有一定重要性，在发展规划中的业务属性及职能定位层面具有一定影响，在规划的发展目标层面中短期目标或长期目标中占据重要的地位2低业务在规划中具有一定重要性，在发展规划中的业务属性及职

17、能定位层面影响较低，在规划的发展目标层面中短期目标或长期目标中占据一定的地位1很低业务在规划中具有一定重要性，在发展规划中的业务属性及职能定位层面影响很低，在规划的发展目标层面中短期目标或长期目标中占据较低的地位业务的关联性会对业务的重要性造成影响。若被评估业务与高于其重要性赋值的业务具有紧密关 联关系，则该业务重要性赋值应在原赋值基础上进行赋值调整。附录 D 中 表 D.1 给出了一种存在紧密关联业务影响时的业务重要性赋值调整方法。5.2.1.3 系统资产识别5.2.1.3.1 识别内容系统资产识别包括资产分类和业务承载性识别两个方面。表3给出了系统资产识别的主要内容描述。系统资产分类包括信

18、息系统、数据资源和通信网络，业务承载性包括承载类别和关联程度。6GB/T 209842022表 3 系统资产识别表识别内容示 例分类信息系统：信息系统是指由计算机硬件、计算机软件、网络和通信设备等组成的，并按照一定的应用 目标和规则进行信息处理或过程控制的系统。典型的信息系统如门户网站、业务系统、云计算平台、工业控制系统等数据资源：数据是指任何以电子或者非电子形式对信息的记录。数据资源是指具有或预期具有价值 的数据集。在进行数据资源风险评估时，应将数据活动及其关联的数据平台进行整体评估。数据活动包括数据采集、数据传输、数据存储、数据处理、数据交换、数据销毁等通信网络：通信网络是指以数据通信为目

19、的，按照特定的规则和策略，将数据处理结点、网络设备设 施互连起来的一种网络。将通信网络作为独立评估对象时， 一般是指电信网、广播电视传输网和行业或单位的专用通信网等以承载通信为目的的网络业务承载性承载类别：系统资产承载业务信息采集、传输、存储、处理、交换、销毁过程中的一个或多个环节关联程度：业务关联程度(如果资产遭受损害，将会对承载业务环节运行造成的影响，并综合考虑可替代性)、资产关联程度(如果资产遭受损害，将会对其他资产造成的影响，并综合考虑可替代性)5.2.1.3.2 系统资产价值赋值系统资产价值应依据资产的保密性、完整性和可用性赋值，结合业务承载性、业务重要性，进行综合 计算，并设定相应

20、的评级方法进行价值等级划分，等级越高表示资产越重要。表4中给出了系统资产价值等级划分的描述。资产保密性、完整性、可用性赋值以及业务承载性赋值方法见附录 D。表 4 系统资产价值等级表等级标识系统资产价值等级描述5很高综合评价等级为很高，安全属性破坏后对组织造成非常严重的损失4高综合评价等级为高，安全属性破坏后对组织造成比较严重的损失3中等综合评价等级为中，安全属性破坏后对组织造成中等程度的损失2低综合评价等级为低，安全属性破坏后对组织造成较低的损失1很低综合评价等级为很低，安全属性破坏后对组织造成很小的损失，甚至忽略不计5.2.1.4 系统组件和单元资产识别5.2.1.4.1 识别内容系统组件

21、和单元资产应分类识别，系统组件和单元资产分类包括系统组件、系统单元、人力资源和其他资产。表5给出了系统组件和单元资产识别的主要内容描述。7GB/T 209842022表 5 系统组件和单元资产识别表分类示 例系统单元计算机设备：大型机、小型机、服务器、工作站、台式计算机、便携计算机等存储设备：磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘等智能终端设备：感知节点设备(物联网感知终端)、移动终端等网络设备：路由器、网关、交换机等传输线路：光纤、双绞线等安全设备：防火墙、入侵检测/防护系统、防病毒网关、VPN等系统组件应用系统：用于提供某种业务服务的应用软件集合应用软件：办公软件、各类工具软件、移动

22、应用软件等系统软件：操作系统、数据库管理系统、中间件、开发系统、语句包等支撑平台：支撑系统运行的基础设施平台，如云计算平台、大数据平台等服务接口：系统对外提供服务以及系统之间的信息共享边界，如云计算PaaS层服务向其他信息系统提供的服务接口等人力资源运维人员：对基础设施、平台、支撑系统、信息系统或数据进行运维的网络管理员、系统管理员等业务操作人员：对业务系统进行操作的业务人员或管理员等安全管理人员：安全管理员、安全管理领导小组等外包服务人员：外包运维人员、外包安全服务或其他外包服务人员等其他资产保存在信息媒介上的各种数据资料：源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册、各

23、类纸质的文档等办公设备：打印机、复印机、扫描仪、传真机等保障设备：UPS、变电设备、空调、保险柜、文件柜、门禁、消防设施等服务：为了支撑业务、信息系统运行、信息系统安全，采购的服务等知识产权：版权、专利等5.2.1.4.2 系统组件和单元资产价值赋值系统组件和单元资产价值应依据其保密性、完整性、可用性赋值进行综合计算，并设定相应的评级 方法进行价值等级划分，等级越高表示资产越重要。表6中给出了系统组件和单元资产价值等级划分的描述。资产保密性、完整性、可用性赋值方法见附录 D。表 6 系统组件和单元资产价值等级表等级标识系统组件和单元资产价值等级描述5很高综合评价等级为很高，安全属性破坏后对业务

24、和系统资产造成非常严重的影响4高综合评价等级为高，安全属性破坏后对业务和系统资产造成比较严重的影响3中等综合评价等级为中，安全属性破坏后对业务和系统资产造成中等程度的影响2低综合评价等级为低，安全属性破坏后对业务和系统资产造成较低的影响1很低综合评价等级为很低，安全属性破坏后对业务和系统资产造成很小的影响，甚至忽略不计5.2.2 威胁识别5.2.2.1 威胁识别内容威胁识别的内容包括威胁的来源、主体、种类、动机、时机和频率。8GB/T 209842022在对威胁进行分类前，应识别威胁的来源。威胁来源包括环境、意外和人为三类，附录 E 给出了威胁识别的参考方法。表 E.1 给出了一种威胁来源的分

25、类方法。根据威胁来源的不同，威胁可划分为信息损害和未授权行为等威胁种类。表 E.2 给出了一种威胁种类划分的参考。威胁主体依据人为和环境进行区分，人为的分为国家、组织团体和个人，环境的分为一般的自然灾害、较为严重的自然灾害和严重的自然灾害。威胁动机是指引导、激发人为威胁进行某种活动，对组织业务、资产产生影响的内部动力和原因。 威胁动机可划分为恶意和非恶意，恶意包括攻击、破坏、窃取等，非恶意包括误操作、好奇心等。表 E.3给出了一种威胁动机分类的参考。威胁时机可划分为普通时期、特殊时期和自然规律。威胁频率应根据经验和有关的统计数据来进行判断，综合考虑以下四个方面，形成特定评估环境中各种威胁出现的

26、频率：a) 以往安全事件报告中出现过的威胁及其频率统计；b) 实际环境中通过检测工具以及各种日志发现的威胁及其频率统计；c) 实际环境中监测发现的威胁及其频率统计；d) 近期公开发布的社会或特定行业威胁及其频率统计，以及发布的威胁预警。5.2.2.2 威胁赋值威胁赋值应基于威胁行为，依据威胁的行为能力和频率，结合威胁发生的时机，进行综合计算，并设 定相应的评级方法进行等级划分，等级越高表示威胁利用脆弱性的可能性越大。表7中给出了威胁赋值等级划分的描述。表 7 威胁赋值表等级标识威胁赋值描述5很高根据威胁的行为能力、频率和时机，综合评价等级为很高4高根据威胁的行为能力、频率和时机，综合评价等级为

27、高3中等根据威胁的行为能力、频率和时机，综合评价等级为中2低根据威胁的行为能力、频率和时机，综合评价等级为低1很低根据威胁的行为能力、频率和时机，综合评价等级为很低威胁能力是指威胁来源完成对组织业务、资产产生影响的活动所具备的资源和综合素质。组织及 业务所处的地域和环境决定了威胁的来源、种类、动机，进而决定了威胁的能力；应对威胁能力进行等级 划分，级别越高表示威胁能力越强，表 E.4 给出了一种特定威胁行为能力赋值的参考。其中，威胁动机对威胁能力有调整作用。威胁的种类和资产决定了威胁的行为。表E.5 给出了威胁行为列表的参考，E.6 给出了一种资产、威胁种类、威胁行为关联分析的示例。威胁出现的

28、频率应进行等级化处理，不同等级分别代表威胁出现频率的高低。等级数值越大，威胁 出现的频率越高。威胁的频率应参考组织、行业和区域有关的统计数据进行判断。表 E.7 给出了一种威胁频率的赋值方法。其中，威胁时机对威胁频率有调整作用。5.2.3 已有安全措施识别安全措施可以分为预防性安全措施和保护性安全措施两种。预防性安全措施可以降低威胁利用脆9GB/T 209842022弱性导致安全事件发生的可能性，保护性安全措施可以减少安全事件发生后对组织或系统造成的影响。在识别脆弱性的同时，评估人员应对已采取的安全措施的有效性进行确认。安全措施的确认应评估其有效性，即是否真正地降低了系统的脆弱性，抵御了威胁。

29、5.2.4 脆弱性识别5.2.4.1 脆弱性识别内容如果脆弱性没有对应的威胁，则无需实施控制措施，但应注意并监视他们是否发生变化。相反，如 果威胁没有对应的脆弱性，也不会导致风险。应注意，控制措施的不合理实施、控制措施故障或控制措施的误用本身也是脆弱性。控制措施因其运行的环境，可能有效或无效。脆弱性可从技术和管理两个方面进行审视。技术脆弱性涉及 IT 环境的物理层、网络层、系统层、 应用层等各个层面的安全问题或隐患。管理脆弱性又可分为技术管理脆弱性和组织管理脆弱性两方面，前者与具体技术活动相关，后者与管理环境相关。脆弱性识别可以以资产为核心，针对每一项需要保护的资产，识别可能被威胁利用的脆弱性

30、，并对 脆弱性的严重程度进行评估；也可以从物理、网络、系统、应用等层次进行识别，然后与资产、威胁对应起 来。脆弱性识别的依据可以是国际或国家安全标准，也可以是行业规范、应用流程的安全要求。对应用 在不同环境中的相同的脆弱性，其影响程度是不同的，评估方应从组织安全策略的角度考虑，判断资产 的脆弱性被利用难易程度及其影响程度。同时，应识别信息系统所采用的协议、应用流程的完备与否、与其他网络的互联等。对不同的识别对象，其脆弱性识别的具体要求应参照相应的技术或管理标准实施。表8给出了一种脆弱性识别内容的参考。表 8 脆弱性识别内容表类型识别对象识别方面技术脆弱性物理环境从机房场地、机房防火、机房供配电

31、、机房防静电、机房接地与防雷、电磁防护、通信线路的保护、机房区域防护、机房设备管理等方面进行识别网络结构从网络结构设计、边界保护、外部访问控制策略、内部访问控制策略、网络设备安全配置等方面进行识别系统软件从补丁安装、物理保护、用户账号、口令策略、资源共享、事件审计、访问控制、新系统配置、注册表加固、网络安全、系统管理等方面进行识别应用中间件从协议安全、交易完整性、数据完整性等方面进行识别应用系统从审计机制、审计存储、访问控制策略、数据完整性、通信、鉴别机制、密码保护等方面进行识别管理脆弱性技术管理从物理和环境安全、通信与操作管理、访问控制、系统开发与维护、业务连续性等方面进行识别组织管理从安全

32、策略、组织安全、资产分类与控制、人员安全、符合性等方面进行识别脆弱性赋值时包括两部分， 一部分是脆弱性被利用难易程度赋值， 一部分是影响程度赋值。5.2.4.2 脆弱性被利用难易程度赋值脆弱性被利用难易程度赋值需要综合考虑已有安全措施的作用。 一般来说，安全措施的使用将降 低系统技术或管理上脆弱性被利用难易程度，但安全措施确认并不需要和脆弱性识别过程那样具体到每个资产、组件的脆弱性，而是一类具体措施的集合。10GB/T 209842022依据脆弱性和已有安全措施识别结果，得出脆弱性被利用难易程度，并进行等级化处理，不同的等 级代表脆弱性被利用难易程度高低。等级数值越大，脆弱性越容易被利用。表9

33、给出了脆弱性被利用难易程度的一种赋值方法。表 9 脆弱性被利用难易程度赋值表等级标识定 义5很高实施了控制措施后，脆弱性仍然很容易被利用4高实施了控制措施后，脆弱性较容易被利用3中等实施了控制措施后，脆弱性被利用难易程度一般2低实施了控制措施后，脆弱性难被利用1很低实施了控制措施后，脆弱性基本不可能被利用5.2.4.3 影响程度赋值影响程度赋值是指脆弱性被威胁利用导致安全事件发生后对资产价值所造成影响的轻重程度分析 并赋值的过程。识别和分析资产可能受到的影响时，需要考虑受影响资产的层面。可从业务层面、系统层面、系统组件和单元三个层面进行分析。影响程度赋值需要综合考虑安全事件对资产保密性、完整性

34、和可用性的影响。影响程度赋值采用 等级划分处理方式，不同的等级分别代表对资产影响的高低。等级数值越大，影响程度越高。表10给出了影响程度的一种赋值方法。表 1 0 影响程度赋值表等级标识定 义5很高如果脆弱性被威胁利用，将对资产造成特别重大损害4高如果脆弱性被威胁利用，将对资产造成重大损害3中等如果脆弱性被威胁利用，将对资产造成一般损害2低如果脆弱性被威胁利用，将对资产造成较小损害1很低如果脆弱性被威胁利用，将对资产造成的损害可以忽略5.3 风险分析组织应在风险识别基础上开展风险分析，风险分析应：a) 根据威胁的能力和频率，以及脆弱性被利用难易程度，计算安全事件发生的可能性；b) 根据安全事件

35、造成的影响程度和资产价值，计算安全事件发生后对评估对象造成的损失；c) 根据安全事件发生的可能性以及安全事件发生后造成的损失，计算系统资产面临的风险值；d) 根据业务所涵盖的系统资产风险值综合计算得出业务风险值。 具体风险计算过程见附录 F。5.4 风险评价5.4.1 系统资产风险评价根据风险评价准则对系统资产风险计算结果进行等级处理。表11给出了一种系统资产风险等级划分方法。11GB/T 209842022表 1 1 系统资产风险等级划分表等级标识描 述5很高风险发生的可能性很高，对系统资产产生很高的影响4高风险发生的可能性很高，对系统资产产生中等及高影响风险发生的可能性高，对系统资产产生高

36、及以上影响风险发生的可能性中，对系统资产产生很高影响3中等风险发生的可能性很高，对系统资产产生低及以下影响风险发生的可能性高，对系统资产产生中及以下影响风险发生的可能性中，对系统资产产生高、中、低影响2低风险发生的可能性中，对系统资产产生很低影响风险发生的可能性低，对系统资产产生低及以下影响风险发生的可能性很低，对系统资产产生中、低影响1很低风险发生的可能性很低，发生后对系统资产几乎无影响5.4.2 业务风险评价根据风险评价准则对业务风险计算结果进行等级处理，在进行业务风险评价时，可从社会影响和组 织影响两个层面进行分析。社会影响涵盖国家安全，社会秩序，公共利益，公民、法人和其他组织的合法 权

37、益等方面；组织影响涵盖职能履行、业务开展、触犯国家法律法规、财产损失等方面。表12给出了一种基于后果的业务风险等级划分方法。表12 业务风险等级划分表等级标识描 述5很高社会影响：a) 对国家安全、社会秩序和公共利益造成影响；b) 对公民、法人和其他组织的合法权益造成严重影响 组织影响：a) 导致职能无法履行或业务无法开展；b) 触犯国家法律法规；c) 造成非常严重的财产损失4高社会影响：对公民、法人和其他组织的合法权益造成较大影响组织影响：a) 导致职能履行或业务开展受到严重影响；b) 造成严重的财产损失3中等社会影响：对公民、法人和其他组织的合法权益造成影响组织影响：a) 导致职能履行或业

38、务开展受到影响；b) 造成较大的财产损失12GB/T 209842022表 1 2 业务风险等级划分表 ( 续 )等级标识描述2低组织影响：a) 导致职能履行或业务开展受到较小影响；b)造成一定的财产损失1很低组织影响：造成较少的财产损失5.5 沟通与协商风险评估实施团队应在风险评估过程中与内部相关方和外部相关方保持沟通并对沟通内容予以记录，沟通的内容应包括：a) 为理解风险及相关问题和决策而就风险及其相关因素相互交流信息和意见；b) 相关方已表达的对风险事件的关注、意见以及相应的反应。5.6 风险评估文档记录5.6.1 风险评估文档记录要求记录风险评估过程的相关文档，应符合以下要求(包括但不

39、限于):a) 确保文档发布前是得到批准的；b) 确保文档的更改和现行修订状态是可识别的(有版本控制措施);c) 确保文档的分发得到适当控制，并确保在使用时可获得有关版本的适用文档；d) 防止作废文档的非预期使用，若因任何目的需保留作废文档时，应对这些文档进行适当的 标识。对于风险评估过程中形成的相关文档，还应规定其标识、存储、保护、检索、保存期限以及处置所需的控制。相关文档是否需要以及详略程度由组织的管理者来决定。5.6.2 风险评估文档风险评估文档是指在风险评估过程中产生的过程文档和结果文档，包括(但不仅限于此):a) 风险评估方案：阐述风险评估目标、范围、人员、评估方法、评估结果的形式和实

40、施进度等；b) 资产识别清单：根据组织所确定的资产分类方法进行资产识别，形成资产识别清单(包括业务 资产、系统资产、系统组件和单元资产),明确资产的责任人和责任部门；c) 重要资产清单：根据资产识别和赋值的结果，形成重要资产列表，包括重要资产名称、描述、类 型、重要程度、责任人、责任部门等；d) 威胁列表：根据威胁识别和赋值的结果，形成威胁列表，包括威胁来源、种类、威胁行为、能力和 频率等；e) 已有安全措施列表：对已采取的安全措施进行识别并形成已有安全措施列表，包括已有安全措 施名称、类型、功能描述及实施效果等；f) 脆弱性列表：根据脆弱性识别和赋值的结果，形成脆弱性列表，包括具体脆弱性的名

41、称、描述、 类型、被利用难易程度及影响程度等；g) 风险列表：根据威胁利用脆弱性导致安全事件的情况，形成风险列表，包括具体风险的名称、描 述等；h) 风险评估报告：对风险评估过程和结果进行总结，详细说明评估对象、风险评估方法、资产、威 胁、脆弱性和已有安全措施的识别结果、风险分析、风险统计和结论等内容；i) 风险评估记录：风险评估过程中的各种现场记录应可复现评估过程，以作为产生歧义后解决问 题的依据。13GB/T 209842022附 录 A(资料性)评估对象生命周期各阶段的风险评估A.1 概述风险评估应贯穿于评估对象生命周期各阶段中。评估对象生命周期各阶段中涉及的风险评估原则 和方法是一致的，但由于各阶段实施内容、对象、安全需求不同，使得风险评估的对象、目的、要求等各方 面也有所不同。在规划设计阶段，通过风险评估以确定评估对象的安全目标；在建设验收阶段，通过风 险评估以确定评估对象的安全目标达成与否；在运行维护阶段，要持续的实施风险评估以识别评估对象 面临的不断变化的风险和脆弱性，从而确定安全措施的有效性，确保安全目标得以实现。因此，每个阶段风险评估的具体实施应根据该阶段的特点有所侧重的进