信息技术安全技术信息安全风险管理（GB-T 31722-2015）.pdf

《信息技术安全技术信息安全风险管理（GB-T 31722-2015）.pdf》由会员分享，可在线阅读，更多相关《信息技术安全技术信息安全风险管理（GB-T 31722-2015）.pdf（51页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、ICS 35.040L80中中 华华 人人 民民 共共 和和 国国 国国 家家 标标 准准GB/T XXXXXXXXX/ISO/IEC 27005:2008信息技术安全技术信息安全风险管理Information technology Security techniques Information security riskmanagement（ISO/IEC 27005:2008，IDT）在提交反馈意见时，请将您知道的相关专利与支持性文件一并附上。（报批稿）2013-07-24XXXX-XX-XX 发布XXXX-XX-XX 实施GB/T DDDDDDDDD/ISO/IEC 27005:2008

2、I目次前言.III引言.IV1 范围.12 规范性引用文件.13 术语和定义.14 本标准结构.25 背景.36 信息安全风险管理过程概述.37 语境建立.57.1 总体考虑.57.2 基本准则.67.3 范围和边界.77.4 信息安全风险管理机构.78 信息安全风险评估.88.1 信息安全风险评估总体描述.88.2 风险分析.88.3 风险评价.139 信息安全风险处置.139.1 风险处置总体描述.139.2 风险降低.159.3 风险保留.169.4 风险规避.169.5 风险转移.1610 信息安全风险接受.1611 信息安全风险沟通.1712 信息安全风险监视和评审.1712.1 风

3、险因素的监视和评审.1712.2 风险管理监视、评审和改进.18附录 A（资料性附录）确定信息安全风险管理过程的范围和边界.20附录 B（资料性附录）资产识别和估价以及影响评估.24附录 C（资料性附录）典型威胁示例.31附录 D（资料性附录）脆弱性和脆弱性评估方法.34附录 E（资料性附录）信息安全评估方法.38附录 F（资料性附录）风险降低的约束.43参考文献.45GB/T DDDDDDDDD/ISO/IEC 27005:2008IIGB/T DDDDDDDDD/ISO/IEC 27005:2008III前言本标准按照GB/T 1.1-2009和GB.T 20000.2-2009给出的规则

4、起草。本标准使用翻译法等同采用国际标准ISO/IEC 27005:2008 信息技术安全技术信息安全风险管理（英文版）。根据国情和GB/T 1.1的规定，引言做了一些编辑性修改。本标准由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。本标准起草单位：中国电子技术标准化研究院、上海三零卫士信息安全有限公司、中电长城网际系统应用有限公司、山东省计算中心、北京信息安全测评中心本标准主要起草人：许玉娜、闵京华、上官晓丽、董火民、赵章界、李刚、周鸣乐GB/T DDDDDDDDD/ISO/IEC 27005:2008IV引言信息安全管理体系标准族（Information Security M

5、anagement System，简称ISMS标准族）是国际信息安全技术标准化组织（ISO/IEC JTC1 SC27）制定的信息安全管理体系系列国际标准。ISMS标准族旨在帮助各种类型和规模的组织，开发和实施管理其信息资产安全的框架，并为保护组织信息（诸如，财务信息、知识产权、员工详细资料，或者受客户或第三方委托的信息）的ISMS的独立评估做准备。ISMS标准族包括的标准：a）定义了ISMS的要求及其认证机构的要求；b)提供了对整个“规划-实施-检查-处置”（PDCA）过程和要求的直接支持、详细指南和（或）解释；c)阐述了特定行业的ISMS指南；d)阐述了ISMS的一致性评估。目前，ISMS

6、标准族由下列标准组成：GB/T 292462012信息技术安全技术信息安全管理体系概述和词汇（ISO/IEC27000:2009）GB/T 220802008信息技术安全技术信息安全管理体系要求（ISO/IEC 27001:2005）GB/T 220812008信息技术安全技术信息安全管理实用规则（ISO/IEC 27002:2005）GB/T BBBBBBBBB信息技术安全技术信息安全管理体系实施指南（ISO/IEC 27003:2010）GB/T CCCCCCCCC信息技术安全技术信息安全管理测量（ISO/IEC 27004:2009）（本标准）信息技术安全技术信息安全风险管理（ISO/I

7、EC 27005:2008）GB/T 250672010信息技术安全技术信息安全管理体系审核认证机构的要求（ISO/IEC27006:2007）ISO/IEC 27007:2011信息技术安全技术信息安全管理体系审核指南ISO/IEC TR 27008:2011信息技术安全技术信息安全控制措施审核员指南ISO/IEC 27010:2012信息技术安全技术行业间及组织间通信的信息安全管理ISO/IEC 27011:2008信息技术安全技术基于ISO/IEC 27002的电信行业组织的信息安全管理指南ISO/IEC 27013:2012信息技术安全技术ISO/IEC 27001和ISO/IEC 2

8、0000-1集成实施指南ISO/IEC 27014:2013信息技术安全技术信息安全治理ISO/IEC TR 27015:2012信息技术安全技术金融服务信息安全管理指南本标准作为ISMS标准族之一，为组织内的信息安全风险管理提供指南，特别是支持按照GB/T 22080的ISMS要求。然而，本标准不提供信息安全风险管理的任何特定方法。由组织来确定其风险管理方法，这取决于诸如组织的ISMS范围、风险管理语境或所处行业。一些现有的方法可在本标准描述的框架下使用，以实现ISMS的要求。本标准的相关方包括关心组织内信息安全风险的管理者和员工以及（在适当情况下）支持这种活动的外部方。GB/T DDDDD

9、DDDD/ISO/IEC 27005:20081信息技术安全技术信息安全风险管理1范围本标准为信息安全风险管理提供指南。本标准支持GB/T 22080所规约的一般概念，旨在为基于风险管理方法来符合要求地实现信息安全提供帮助。知晓GB/T 22080和GB/T 22081中所描述的概念、模型、过程和术语，对于完整地理解本标准是重要的。本标准适用于各种类型的组织（例如，商务企业、政府机构、非盈利性组织），这些组织期望管理可能危及其信息安全的风险。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改

10、单）适用于本文件。GB/T 22080-2008信息技术安全技术信息安全管理体系要求（ISO/IEC 27001:2005，IDT）GB/T 22081-2008信息技术安全技术信息安全管理实用规则（ISO/IEC 27002:2005，IDT）3术语和定义GB/T 22080和GB/T 22081中界定的以及下列术语和定义适用于本文件。3.1影响 impact对所达到业务目标的不利改变。3.2信息安全风险 information security risk特定威胁利用单个或一组资产脆弱性的可能性以及由此可能给组织带来的损害。注：它以事态的可能性及其后果的组合来度量。3.3风险规避 risk

11、avoidance不卷入风险处境的决定或撤离风险处境的行动。ISO/IEC Guide 73：20023.4风险沟通 risk communicationGB/T DDDDDDDDD/ISO/IEC 27005:20082决策者和其他利益相关者之间关于风险的信息交换或共享。ISO/IEC Guide 73:20023.5风险估算 risk estimation为风险的可能性和后果赋值的活动。ISO/IEC Guide 73:20023.6风险识别 risk identification发现和列出风险要素并描述其特征的活动。ISO/IEC Guide 73:20023.7风险降低 risk re

12、duction为降低风险的可能性和（或）负面结果所采取的行动。ISO/IEC Guide 73:20023.8风险保留 risk retention对来自特定风险的损失或收益的接受。ISO/IEC Guide 73:2002注：在信息安全风险的语境下，对于风险保留仅考虑负面后果（损失）。3.9风险转移 risk transfer与另一方对风险带来的损失或收益的共享。ISO/IEC Guide 73:2002注：在信息安全风险的语境下，对于风险转移仅考虑负面结果（损失）。4本标准结构本标准描述了信息安全风险管理过程及其活动。第5章提供了背景信息。第6章给出了信息安全风险管理过程的总体概述。第6章

13、提出的所有信息安全风险管理活动在以下章节中依次进行了描述：第 7 章 语境建立第 8 章 风险评估第 9 章 风险处置第 10 章 风险接受第 11 章 风险沟通第 12 章 风险监视与评审GB/T DDDDDDDDD/ISO/IEC 27005:20083附录中给出了信息安全风险管理活动的其他信息。附录A（确定信息安全风险管理过程的范围和边界）对语境建立提供支持。附录B（资产示例）、附录C（典型威胁示例）和附录D（典型脆弱性示例）讨论了资产识别和估价以及影响评估。附录E给出了信息安全风险评估方法的示例。附录F给出了风险降低的约束。第7章至第12章给出的所有风险管理活动的表述结构如下：输入：标

14、识执行该活动所需的任何信息。动作：描述活动。实施指南：为执行该动作提供指南。指南中的某些内容可能不适用于所有情况，因此执行该动作的其他方法可能更合适。输出：标识执行该活动后得到的任何信息。5背景为识别组织的信息安全需求和创建有效的信息安全管理体系（ISMS），一种系统化的信息安全风险管理方法是必要的。这种方法宜适用于该组织的环境，特别是与整个组织风险管理宜保持一致。安全工作宜以有效和及时的方式在需要的地方和时候处理风险。信息安全风险管理宜是所有信息安全管理活动中不可分割的一部分，并既应用于ISMS的实施，也应用于ISMS的持续运行。信息安全风险管理宜是一个持续的过程。该过程宜建立语境，评估风险

15、以及按风险处置计划进行风险处置以实现相关的建议和决策。风险管理为将风险降低至可接受的水平，在决定宜做什么和什么时候做之前，分析可能发生什么和可能的后果是什么。信息安全风险管理将有助于：识别风险；以风险造成的业务后果和发生的可能性来评估风险；沟通和理解这些风险的可能性和后果；建立风险处置的优先顺序；建立为降低风险发生所采取行动的优先级；使利益相关方参与风险管理决策并持续告知风险管理状态；监视风险处置的有效性；监视和定期评审风险及风险管理过程；获取信息以改进风险管理方法；向管理者和员工传授风险知识以及减轻风险所采取的行动。信息安全风险管理过程可应用于整个组织、组织的任何独立部分（例如，一个部门、一

16、处物理位置、一项服务）、任何信息系统、现有的或计划的或特定方面的控制措施（例如，业务持续性计划）。6信息安全风险管理过程概述信息安全风险管理过程由语境建立（第7章）、风险评估（第8章）、风险处置（第9章）、风险接受（第10章）、风险沟通（第11章）和风险监视与评审（第12章）组成。GB/T DDDDDDDDD/ISO/IEC 27005:20084风险评估风险分析语 境 建 立风 险 识 别风 险 估 算风 险 评 价风 险 接 受否是风险决策点 1评估是否满意否是风险决策点 2处置是否满意风险监视与评审风 险 处 置风险沟通第一次或后续迭代的终点图 1信息安全风险管理过程如图1所示，信息安全

17、风险管理过程可以迭代地进行风险评估和（或）风险处置活动。迭代方法进行风险评估可在每次迭代时增加评估的深度和细节。该迭代方法在最小化识别控制措施所需的时间和精力与确保高风险得到适当评估之间，提供了一个良好的平衡。首先建立语境，然后进行风险评估。对于有效地确定将风险降低至可接受水平所需行动，如果风险评估提供了足够的信息，那么就结束该风险评估，接下来进行风险处置。如果提供的信息不够充分，那么将在修订的语境（例如，风险评价准则、风险接受准则或影响准则）下进行该风险评估的另一次迭代（见图1，风险决策点1）。此次迭代可能是在整个范围的有限部分上进行。风险处置的有效性取决于该风险评估的结果。风险处置后的残余

18、风险可能不会立即达到一个可接受的水平。在这种情况下，如果必要的话，可能需要在改变的语境参数（例如，风险评估准则、风险接受准则或影响准则）下进行该风险评估的另一次迭代，以及随后的进一步风险处置（见图1，风险决策点2）。风险接受活动要确保残余风险被组织的管理者明确地接受。在诸如由于成本而省略或推迟实施控制措施的情况下，这点尤其重要。在整个信息安全风险管理过程期间，重要的是将风险及其处置传达至适当的管理者和运行人员。即使是风险处置前，已识别的风险信息对管理事件可能是非常有价值的，并可能有助于减少潜在损害。管GB/T DDDDDDDDD/ISO/IEC 27005:20085理者和员工的风险意识、缓解

19、风险的现有控制措施的性质以及组织关注的领域，这些均有助于以最有效的方式处理事件和意外情况。信息安全风险管理过程的每个活动以及来自两个风险决策点的详细结果均宜记录在案。GB/T 22080规定，ISMS的范围、边界和语境内所实施的控制措施应基于风险。信息安全风险管理过程的应用能够满足这一要求。有许多方法可以在组织内成功地实施此过程。但无论什么方法，组织宜为此过程的每一特定应用，选用最适合自身情况的方法。在一个ISMS中，语境建立、风险评估、风险处置计划制定和风险接受是其“规划”阶段的全部。在此ISMS的“实施”阶段，依据风险处置计划，实施将风险降低到可接受水平所需的行动和控制措施。在此ISMS的

20、“检查”阶段，管理者将根据事件和环境变化来确定风险评估和风险处置修订的需要。在“处置”阶段，执行所需的任何行动，包括风险管理过程的再次应用。下表总结了与ISMS过程的四个阶段相关的信息安全风险管理活动。表 1ISMS 和信息安全风险管理过程对照表ISMSISMS过程过程信息安全风险管理过程信息安全风险管理过程规划语境建立风险评估风险处置计划制定风险接受实施风险处置计划实施检查持续的风险监视与评审处置信息安全风险管理过程保持与改进7语境建立7.1总体考虑输入：与信息安全风险管理语境建立相关的所有关于组织的信息。动作：宜建立信息安全风险管理的语境，包括设定信息安全风险管理所必要的基本准则（7.2）

21、，确定其范围和边界（7.3），并建立运行信息安全风险管理的一个适当组织（7.4）。实施指南：确定信息安全风险管理的目的是必不可少的，因为这会影响整个过程，尤其是语境建立。目的可以是：支持 ISMS；遵从法律和证明尽职；准备业务持续性计划；准备事件响应计划；描述产品、服务或机制的信息安全要求。支持ISMS所需的语境建立要素的实施指南在下面的7.2、7.3和7.4中进一步讨论。注：GB/T 22080没有使用术语“语境”。然而，第7章的所有内容都与GB/T 22080中规定的“确定ISMS的范围和边界”4.2.1 a)、“确定ISMS方针”4.2.1 b)和“确定风险评估方法”4.2.1 c)要求

22、有关。输出：对信息安全风险管理过程的基本准则、范围和边界以及组织的规定。GB/T DDDDDDDDD/ISO/IEC 27005:200867.2基本准则根据风险管理的范围和目标，可应用不同的方法。对于每次迭代，其方法可能是不同的。宜选择或开发一个适当的风险管理方法来确立诸如风险评价准则、影响准则、风险接受准则等基本准则。另外，组织宜评估下述工作的必要资源是否可用：执行风险评估，建立风险处置计划；确定并实施策略和规程，包括实施所选的控制措施；监视控制措施；监视信息安全风险管理过程。注：见GB/T 22080（5.2.1）有关实施和运行ISMS的资源供给。风险评价准则风险评价准则宜通过考虑如下因

23、素，开发风险评价准则来评价组织的信息安全风险：业务信息过程的战略价值；所涉及信息资产的关键性；法律法规和规章制度的要求，以及合同义务；可用性、保密性和完整性对运营和业务的重要性；利益相关方的期望和观点，以及对信誉和和名誉的负面结果。另外，风险评价准则可被用于规定风险处置的优先级。影响准则影响准则宜通过考虑如下因素，从信息安全事态给组织带来的损害程度或代价的角度来开发和规定影响准则:受影响的信息资产的级别；破坏信息安全（例如，保密性、完整性和可用性的丧失）；受损的运行（内部或第三方的）；业务和财务价值的损失；计划中断和最终期限；名誉损害；违反法律法规、规章制度或合同要求。注：见GB/T 2208

24、04.2.1 d)4)有关识别丧失保密性、完整性和可用性的影响准则。风险接受准则风险接受准则宜开发和规定风险接受准则。风险接受准则通常取决于组织的方针策略、目标和利益相关方的利益。组织宜对风险接受水平确定其自身的尺度。在开发中宜考虑以下因素：对于一个期望的风险目标水平，风险接受准则可能包括多个阈值，但允许高级管理者在界定的环境下接受高于这一水平的风险；风险接受准则可能表示为估算收益（或其他商业利益）与估算风险的比率；不同的风险接受准则可能适用于不同类别的风险，例如，不符合法律法规或规章制度的风险可能不被接受，然而，如果高风险的接受作为一项合同要求有所规定，则可能允许接受高风险；风险接受准则可能

25、包括对将来附加处置的要求，例如，如果批准并承诺在确定的时间内采取行动将风险降到可接受水平，则此风险可能被接受。根据风险预计存在时间的长短，例如，风险可能与临时或短期的活动有关，风险接受准则可能不同。风险接受准则的建立宜考虑以下因素：GB/T DDDDDDDDD/ISO/IEC 27005:20087业务准则；法律法规和规章制度方面；运行；技术；财务；社会和人道主义因素。注：风险接受准则对应于GB/T 22080 4.2.1 c)2)中规定的“制定接受风险的准则，识别可接受的风险级别”。更多信息可参见附录A。7.3范围和边界组织宜确定信息安全风险管理的范围和边界。信息安全风险管理过程的范围需要被

26、确定，以确保所有相关的资产在风险评估中都被考虑到。此外，边界也需要被识别见GB/T 22080 4.2.1 a)，以便考虑到通过这些边界可能引起的风险。宜收集组织的相关信息，以决定其运营所处环境及其与信息安全风险管理过程的关联。当确定范围和边界时，组织宜考虑以下信息：组织的战略性业务目标、战略和策略；业务过程；组织的功能和结构；适用于组织的法律法规和规章制度以及合同要求；组织的信息安全方针；组织的整体风险管理方法；信息资产；组织场所及其地理特征；影响组织的制约因素；利益相关方的期望；社会文化环境；接口（即与所处环境的信息交换）。此外，组织宜对从范围中的任何排除提供正当理由。风险管理范围的例子可

27、能是某个IT应用、IT基础设施、某个业务过程或组织的某个界定部分。注：信息安全风险管理的范围和边界与GB/T 22080 4.2.1 a)中要求的ISMS范围和边界有关。更多信息可参见附录A。7.4信息安全风险管理机构宜建立并保持信息安全风险管理过程的机构及其职责。该机构的主要角色和职责如下：开发适用于组织的信息安全风险管理过程；识别和分析利益相关者；确定组织内部和外部所有相关方的角色和职责；建立组织和利益相关方之间所需要的联系，以及与组织高层风险管理功能（例如，运营风险管理）的接口和与其他相关项目或活动的接口；确定决策升级路径；规范要保存的记录。该机构宜得到适当的组织管理者的批准。注：GB/

28、T 22080要求确定并提供建立、实施、运行、监视、评审、保持和改进ISMS所需的资源5.2.1 a)。风险管GB/T DDDDDDDDD/ISO/IEC 27005:20088理运行机构可被看作GB/T 22080所要求的资源之一。8信息安全风险评估8.1信息安全风险评估总体描述注：在GB/T 22080中，风险评估活动被称为过程。输入：为信息安全风险管理过程而建立的基本准则、范围和边界以及组织。动作：宜识别风险，量化或定性地描述风险，并按照风险评价准则和组织相关目标按优先顺序排列风险。实施指南：风险是有害事态发生所带来的后果与该事态发生的可能性的组合。风险评估量化或定性地描述风险，并使管理

29、者能根据其感知的严重性或其他已建立的准则按优先顺序排序风险。风险评估由以下活动组成：风险分析（8.2）包括：风险识别（8.2.1）风险估算（8.2.2）风险评价（8.3）风险评估确定信息资产的价值，识别存在（或可能存在）的适用威胁和脆弱性，识别现有的控制措施及其对已识别风险的效果，确定潜在的后果，最后，按优先顺序排列所得出的风险，并按照语境建立时确定的风险评价准则评定等级。风险评估通常进行两次（或多次）迭代。首先，进行高层评估来识别潜在的高风险，作为进一步评估的根据。下一次迭代可能对初始迭代所揭示的潜在高风险做进一步的深入考虑。如果这还不能提供足够的信息来评估风险，那么将会进行更加细致的分析，

30、这可能是针对整个范围的某些部分，还可能是使用一种不同的方法。由组织基于其风险评估的目标和对象，自行选择其自身的风险评估方法。有关信息安全风险评估方法的讨论可参见附录E。输出：按照风险评价准则，按优先顺序排列的已评估风险的列表。8.2风险分析8.2.1风险识别8.2.1.1风险识别介绍风险识别的目的是决定可能发生什么会造成潜在损失，并深入了解损失可能是如何、在何地、为什么发生。8.2.1的下列子条款所描述的步骤将会为风险估算活动收集输入数据。注：以下条款中描述的活动可能会根据所用方法的不同而按不同顺序进行。8.2.1.2资产识别输入：要进行风险评估的范围和边界，包括责任人、地点、功能等要素的清单

31、。动作：宜识别已确定范围内的资产（对应GB/T 22080 4.2.1 d)1)）。实施指南：资产是对组织有价值的任何东西，因此需要保护。资产识别时宜牢记，信息系统包含的不仅仅是硬件和软件。GB/T DDDDDDDDD/ISO/IEC 27005:20089资产识别宜在能为风险评估提供足够信息的适当详细程度上展开。资产识别的详细程度将影响在风险评估中所收集信息的总量。这种程度可在风险评估的进一步迭代中不断细化。宜识别每项资产的责任人，以提供资产的责任和可核查性。资产责任人可能不具有资产的财产所有权，但适当时对其生产、开发、维护、使用和安全负有责任。资产责任人通常是最适合决定资产的组织价值的人选

32、（见8.2.2.2中的资产估价）。评审边界是被规定为信息安全风险管理过程所管理的组织资产边界。与信息安全有关的资产识别和估价的更多信息可参见附录B。输出：要进行风险管理的资产列表、与资产相关的业务过程及其相关性的列表。8.2.1.3威胁识别输入：从事件评审、资产责任人、用户以及其他来源获取的有关威胁的信息，包括外部的威胁目录。动作：宜识别威胁及其来源（对应GB/T 22080 4.2.1 d)2)）。实施指南：威胁有可能损害资产，诸如信息、过程、系统乃至组织。威胁可能源自自然或人类，可能是意外的或故意的。意外的和故意的威胁源都宜进行识别。威胁可能起因于组织的内部或外部。一般地宜先按类型（例如，

33、未授权行为、物理损害、技术故障）识别威胁，然后在必要时，在所识别的一般类型中识别单个威胁。这意在于不但没有威胁被忽略，包括意料之外的，而且所需的工作量也是有限的。一些威胁可能影响多项资产。在这种情况下，威胁可能导致不同的影响，这取决于受影响的资产。用于识别威胁和估算其发生可能性（见8.2.2.3）的输入可以从资产责任人或使用者、人力资源职员、设施管理人员、信息安全专家、物理安全专家、法律部门及包含法律机构的其他组织、气象权威部门、保险公司和国家政府机关等获取。对待威胁要考虑环境和文化方面。在当前的评估中，宜考虑来自事件和以往威胁评估的内部经验。查阅其他相关威胁目录（可能是针对某个组织或业务的）

34、来完成一般威胁列表可能是值得的。威胁目录和统计数据可以来自工业部门、政府机关、法律机构、保险公司等。当使用威胁目录或先前的威胁评估结果时，宜意识到相关威胁是持续变化的，特别是当业务环境或信息系统发生变化时。威胁类型的更多信息可参见附录C。输出：识别了威胁类型和来源的威胁列表。8.2.1.4现有控制措施识别输入：控制措施说明书、风险处置实施计划。动作：宜识别现有的和已计划的控制措施。实施指南：宜识别现有的控制措施以避免不必要的工作或成本，例如，重复的控制措施。此外，识别现有的控制措施时，宜进行检查以确保控制措施在正确地工作参照已有的ISMS审核报告将会减少这项任务所花费的时间。如果控制措施不能按

35、所期望地进行工作，这可能引起脆弱性。为有效处理已识别的风险，宜考虑已选的控制措施（或战略）运行失效的情况以及为此需要补充的控制措施。根据GB/T 22080，在ISMS中，这是由控制措施有效性的测量来支持。估计控制措施有效性的一个途径就是查看其是否降低了威胁可能性和利用脆弱性的容易度，或者事件的影响。管理评审和审核报告也提供有关现有控制措施有效性的信息。按照风险处置实施计划将要实施的控制措施宜与已实施的控制措施以同样的方式来考虑。GB/T DDDDDDDDD/ISO/IEC 27005:200810一个现有的或计划的控制措施可能被识别为无效的，或不充分的，或不合理的。如果不合理或不充分，宜检查

36、该控制措施来确定其是否宜被移除，由另一个更适合的控制措施代替，或者比如出于成本原因而仍被保留。以下活动能有助于识别现有的或计划的控制措施：评审包含控制措施相关信息的文件（例如，风险处置实施计划）。如果信息安全管理的过程已被良好地文件化，那么，所有现有的或计划的控制措施及其实施状态将会是可获得的；就考虑到的信息过程或信息系统实际上实施了哪些控制措施，与信息安全负责人（例如，信息安全官和信息系统安全官，物业经理或运营经理）和用户联系；现场评审物理控制措施，将已实施的控制措施与宜被实施的控制措施列表进行比较，并就已实施的控制措施是否在正确和有效地工作进行检查；评审内部审核结果。输出：所有现有的和计划

37、的控制措施及其实施和使用状态的列表。8.2.1.5脆弱性识别输入：已知威胁的列表、资产和现有控制措施的列表。动作：宜识别可被威胁利用而对资产或组织造成损害的脆弱性（对应GB/T 22080 4.2.1 d)3)）。实施指南：可在以下方面识别脆弱性：组织；过程和规程；管理流程；人员；物理环境；信息系统配置；硬件、软件或通信设备；对外部各方的依赖。脆弱性本身不会产生危害，只有被威胁利用时才会产生危害。没有相应威胁的脆弱性可能不需要实施控制措施，但是宜关注和监视其变化。宜注意的是，一个没有被正确实施或有缺陷的控制措施，或者没有被正确使用的控制措施，其本身可能就是一个脆弱性。一个控制措施可能是有效的或

38、无效的，这取决于其运行的环境。反之，没有相应脆弱性的威胁不会导致风险。脆弱性可能与以某种方式或为某种目的而使用的资产特性有关，而不是资产被购买或制造当初的意图。需要考虑不同来源引起的脆弱性，例如，资产内在或外在的。脆弱性和脆弱性评估方法的示例可参见附录D。输出：与资产、威胁和控制措施有关的脆弱性列表、待评审的与任何已识别的威胁无关的脆弱性列表。8.2.1.6后果识别输入：资产列表、业务过程列表、与资产相关的威胁和脆弱性以及相关性列表（如果有）。动作：宜识别因资产丧失保密性、完整性和可用性而可能造成的后果（见GB/T 22080 4.2.1 d)4)）。实施指南：后果可能是丧失有效性、有害运行状

39、态、业务损失、声誉破坏等。此项活动识别可能由某事件场景对组织造成的损害或后果。一个事件场景是对在一个信息安全事件中一个威胁利用某个脆弱性或一组脆弱性的描述（见GB/T 22081第13章）。事件场景的影响是依据在语GB/T DDDDDDDDD/ISO/IEC 27005:200811境建立活动中所定义的影响准则来确定的。它可能影响到一项或多项资产，或者资产的一部分。因此，可以按资产的财务成本和资产破坏或损害时的业务影响，给资产赋值。后果可能是临时性的，也可能是永久的（当资产被毁灭时）。注：GB/T 22080把事件场景的发生描述为“安全失效”。组织宜从以下方面（但不限于）识别事件场景对运行产生

40、的后果：调查和修复时间；（工作）时间损失；机会丧失；健康和安全；修复损伤所需专业技能的财务成本；形象和信誉。技术脆弱性的评估细节可见B.3影响评估。输出：与资产和业务过程相关的事件场景及其后果的列表。8.2.2风险估算8.2.2.1风险估算方法风险分析可在不同详尽程度下进行，这取决于资产的关键性、已知脆弱性的程度和组织内以前发生的事件。风险估算方法可以是定性的或定量的，或者是两者组合，这取决于所处环境。在实践中，通常首先使用定性估算，以获取风险级别的总体情况，并发现主要风险。然后，在必要时，对主要风险进行更详尽的或定量的分析，因为定性分析通常没有定量分析那么复杂和昂贵。分析的形式宜符合建立语境

41、时所制定的风险评价准则。以下描述估算方法的更多细节：a)定性估算：定性估算使用修饰性的尺度来描述潜在后果的严重程度（例如，低、中和高），以及这些后果发生的可能性。定性估算的优点是易于所有相关人员理解，而缺点是对尺度主观选择的依赖。这些尺度能被调整以适合所处环境，不同风险可采用不同的尺度描述。定性估算可被用于：作为一个初步的筛选活动，以识别需要更详细分析的风险；当这种分析适于作决策时；当数值数据或资源不足以做定量估算时。定性分析宜使用确凿的可用信息和数据。b)定量估算定量估算使用各种来源的数据，采用数值尺度（而不是定性估算中所用的描述性尺度）来描述后果和可能性。定量分析的质量取决于数值的准确性和

42、完整性，以及所用模式的有效性。大多数情况下，定量估算使用历史事件数据，其优点是它能直接关联到组织的信息安全目标和关注点。但缺点是缺乏关于新的风险或信息安全弱点的这类数据。定量方法的另一个可能缺点是没有可用的确凿的、可审计的数据，使得风险评估的价值和准确性成为一种幻想。后果和可能性的表达方式以及两者结合以表示风险程度的方式，将根据风险的类型以及风险评估输出的使用目的不同而不同。后果及可能性的不确定性和可变性宜在分析时加以考虑，并有效沟通。8.2.2.2后果评估输入：已识别的相关事件场景列表，包括威胁、脆弱性、受影响的资产、对资产和业务过程造成后果的识别。GB/T DDDDDDDDD/ISO/IE

43、C 27005:200812动作：宜评估可能的或实际的信息安全事件可能对组织造成的业务影响，同时考虑信息安全破坏的后果，诸如，资产保密性、完整性或可用性的丧失（对应GB/T 22080 4.2.1 e)1)）。实施指南：在识别了评审下的所有资产后，宜在评估后果期间考虑赋予这些资产的价值。业务影响值可以用定性和定量的形式表示，而任何赋予货币价值的方法通常会为决策提供更多的信息，从而有助于更加有效的决策过程。资产估价从按资产关键性进行的资产分类开始，资产的关键性体现为资产对实现组织业务目标的重要性。因此，估价使用两种计量来确定：资产的替换价值：彻底恢复和替换信息（如果完全可能）的成本；资产丢失或损

44、害的业务后果，诸如，信息和其他信息资产的泄漏、更改、不可用和（或）破坏对业务和（或）法律法规或规章制度造成的潜在负面后果。这种估价可从业务影响分析中来确定。由业务后果确定的价值通常显著地高于简单的替换成本，这取决于资产对于组织在满足其业务目标时的重要性。资产估价是一个事件场景影响评估的关键因素，因为事件影响的可能不只一项资产（例如，相互依赖的资产），或仅是一项资产的一部分。不同的威胁和脆弱性将对资产产生不同的影响，诸如，保密性、完整性或可用性的丧失。因此，后果的评估与基于业务影响分析的资产估价有关。后果或业务影响的确定可能是通过模型化一个事态或一组事态的输出，或者通过由实验性研究或历史数据的推

45、断。后果可能按货币的、技术的或人为的影响准则，或是与组织相关的其他准则来表达。在某些情况下，需要多个数值为不同的时间、地点、团体或情况来说明后果。测量时间和财务方面的后果宜采用与用于测量威胁可能性和脆弱性的相同方法。不论是定量还是定性方法，一致性要得到保持。有关资产估价和影响评估的更多信息可参见附录B。输出：按照资产和影响准则表达的事件场景评估结果列表。8.2.2.3事件可能性评估输入：已识别的相关事件场景列表，包括威胁、受影响的资产、被利用的脆弱性、对资产和业务过程造成后果的识别。此外，所有现有的和已计划的控制措施及其有效性、实施和使用状况的列表。动作：宜评估事件场景的可能性（对应GB/T

46、22080 4.2.1 e)2)）。实施指南：识别事件场景后，有必要使用定性或定量估算技术，评估每个场景和影响发生的可能性。这宜考虑威胁发生的频繁程度和脆弱性被利用的容易程度，并考虑以下因素：对威胁可能性的经验和适用的统计数据；对于蓄意的威胁源：随时间而变的动机和能力，潜在攻击者可用的资源，以及潜在攻击者对资产吸引力和脆弱性的感知；对于突发的威胁源：地理因素（例如，邻近化工或石油工厂）、极端天气情况的可能性、可能导致人为错误或设备故障的因素；单个和聚集的脆弱性；现有的控制措施及其减少脆弱性的有效性。举例来说，一个信息系统可能存在被用户身份伪装和资源滥用威胁利用的脆弱性。此脆弱性，由于缺乏用户鉴

47、别，被用户身份伪装利用的可能性会高。另一方面，尽管缺乏用户鉴别，因滥用资源的途径有限，资源滥用的可能性会较低。GB/T DDDDDDDDD/ISO/IEC 27005:200813根据精度的需要，资产可能被组合，也可能有必要被拆分成要素并将事件场景与要素关联。例如，跨越地理位置时，对同类资产威胁的性质可能改变，或者现有控制措施的有效性可能会变化。输出：事件场景的可能性（定量的或定性的）。8.2.2.4风险级别估算输入：事件场景列表，包括事件场景与资产和业务过程相关的后果以及事件场景发生的可能性（定量的或定性的）。动作：宜估算所有相关事件场景的风险级别（对应GB/T 22080 4.2.1 e)

48、4)）。实施指南：风险估算为风险的可能性和后果赋值。这些值可以是定量的或定性的。风险估算是基于所评估的后果和可能性。此外，当适于风险评价时，它可能考虑成本效益、利益相关者的关注点和其他变量。估算出的风险是事件场景的可能性和其后果的组合。不同信息安全风险估算方法的示例可参见附录E。输出：被赋予级别值的风险列表。8.3风险评价输入：被赋予级别值的风险列表和风险评价准则。动作：宜将风险级别与风险评价准则和风险接受准则比较（对应GB/T 22080 4.2.1 e)4)）。实施指南：关于风险评价的决策类型以及用于做出这些决策的风险评价准则，在建立语境时就已被确定。在本阶段，当了解到更多有关已识别的特定

49、风险时，宜更详尽地重新审视这些决策及其语境。为评价风险，组织宜将已估算的风险（使用附录E讨论的被选方法或途径）与在语境建立时确定的风险评价准则进行比较。用于决策的风险评价准则宜与确定的外部和内部信息安全风险管理语境保持一致，并考虑组织的目标和利益相关者的观点等。在风险评价活动中做出的决策主要基于风险的可接受级别。然而，风险识别和分析中得到的后果、可能性和可信度宜一并考虑。多个中低风险的聚合可能导致更高的整体风险，需要关注到。宜考虑：信息安全特性：如果一个准则与组织不相关（例如，保密性丧失），那么影响此准则的所有风险可能都与组织不相关；由一个特定资产或一组资产支撑的业务过程或活动的重要性：如果过

50、程被确定为低重要性，则与之相关的风险，相对于影响更重要的过程或活动的风险而言，宜给予较少考虑。风险评价使用风险分析所得的关于风险的理解来对未来的行动做决策。决策宜包括：是否宜采取活动；考虑已估算的风险级别来排列风险处置优先级。在风险评价阶段，除了被估算的风险外，还宜考虑合同、法律法规和规章制度要求等因素。输出：与导致这些风险的事件场景相关的，依据风险评价准则按优先顺序排列的风险列表。9信息安全风险处置9.1风险处置总体描述输入：与导致这些风险的事件场景相关的，依据风险评价准则按优先顺序排列的风险列表。GB/T DDDDDDDDD/ISO/IEC 27005:200814动作：宜选择控制措施以降