ICS 35.040 L 80 中华人民共和国国家标准 GB/T 31509—2015 信息安全技术 信息安全风险评估 实施指南 Information security technologyGuide of implementation for information security risk assessment 2015-05-15发布 2016-01-01实施 中华人民共和国国家质量监督检验检疫总局 发布 中国国家标准化管理委员会 GB/T 31509—2015 目 次 前言 II 引言 1 范围 2 规范性引用文件 3术语、定义和缩略语· 4 风险评估实施概述 4.1 实施的基本原则 4.2 实施的基本流程 4.3 风险评估的工作形式 4.4 信息系统生命周期内的风险评估 5 风险评估实施的阶段性工作 5.1 准备阶段 5.2 识别阶段 10 5.3 风险分析阶段· 21 5.4 风险处理建议 24 附录A（资料性附录） 调查表 28 附录B（资料性附录） 安全技术脆弱性核查表 附录C（资料性附录） 安全管理脆弱性核查表… 45 附录D（资料性附录） 风险分析案例· 52 GB/T 31509—2015 前 言 本标准按照GB/T1.1一2009给出的规则起草。 本标准由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。 本标准起草单位：国家信息中心、国家保密技术研究所、北京信息安全测评中心、上海市信息安全测 评认证中心、沈阳东软系统集成工程有限公司、国和信诚（北京)信息安全有限公司。 本标准主要起草人：吴亚非、禄凯、张志军、陈永刚、赵章界、席斐、应力、马朝斌、倪志强。 Ⅲ GB/T 31509—2015 引 言 信息安全风险评估是信息安全保障工作的重要内容之一，与信息系统等级保护、信息安全检查、信 息安全建设等工作紧密相关，并通过风险发现、分析、评价为上述相关工作提供支持。 为指导信息安全风险评估工作的开展，本标准依据《信息安全技术信息安全风险评估规范》 （GB/T20984一2007），从风险评估工作开展的组织、管理、流程、文档、审核等几个方面提出了相关要 求，是《信息安全技术信息安全风险评估规范》（GB/T20984一2007)的操作性指导标准，它也是信息 安全风险管理相关标准之一。 IV GB/T 31509—2015 信息安全技术 信息安全风险评估 实施指南 1范围 本标准规定了信息安全风险评估实施的过程和方法。 本标准适用于各类安全评估机构或被评估组织对非涉密信息系统的信息安全风险评估项目的管 理，指导风险评估项目的组织、实施、验收等工作。 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单)适用于本文件。 GB/T20984—2007信息安全技术信息安全风险评估规范 GB/Z24364—2009信息安全技术信息安全风险管理指南 3术语、定义和缩略语 GB/T20984—2007和GB/Z24364—2009中界定的以及下列术语和定义适用于本文件。 3.1术语和定义 3.1.1 实施 implementation 将一系列活动付诸实践的过程。 3.1.2 信息系统生命周期informationsystemlifecycle 信息系统的各个生命阶段，包括规划阶段、设计阶段、实施阶段、运行维护阶段和废弃阶段。 3.1.3 评估目标 卡 assessment target 评估活动所要达到的最终目的。 3.1.4 系统调研system investigation 对信息系统相关的实际情况进行调查了解与分析研究的活动。 3.1.5 评估要素assessment factor 风险评估活动中必须要识别、分析的一系列基本因素。 3.1.6 识别identify 对某一评估要素进行标识与辨别的过程。 1 GB/T 31509--2015 3.1.7 赋值assignment 对识别出的评估要素根据已定的量化模型给予定量数值的过程。 3.1.8 核查check in 将信息系统中的检查信息与制定的检查项进行核对检查的活动。 3.1.9 关键控制点thekeypoint 在项目实施活动中，具有能够影响到项目整体进度决定性作用的实施活动。 3.1.10 分析模型analysismodel 依据一定的分析原理，构造的一种模拟分析方法，用于对评估要素的分析。 3.1.11 评价模型 evaluation model 依据一定的评价体系，构造若干评价指标，能够对相应的活动进行较为完善的评价。 3.1.12 风险处理risk treatment 对风险进行处理的一系列活动，如接受风险、规避风险、转移风险、降低风险等。 3.1.13 验收 acceptance 风险评估活动中用于结束项目实施的一种方法，主要由被评估方组织，对评估活动进行逐项检验， 以是否达到评估目标为接受标准。 3.2缩略语 下列缩略语适用于本文件。 AC：访问（人侵）复杂性（AccessComplexity） AV：访问（人侵）路径（AccessVector） BOF：缓冲区溢出（BufferOverflow） CDP：破坏潜力(Collateral DamagePotential) CVE:公共漏洞和暴露(CommonVulnerabilities&Exposures) CVSS：通用安全弱点评估系统(CommonVulnerabilityScoringSystem) RC：报告可信性(ReportConference) RL：补救水平(Remediation Level) SR：安全要求(Security Requirement) TD：目标分布（TargetDistribution） VLAN:虚拟域网(Virtual Local Area Network) 4风险评估实施概述 4.1实施的基本原则 4.1.1标准性原则 信息系统的安全风险评估，应按照GB/T20984一2007中规定的评估流程进行实施，包括各阶段性 2 GB/T 31509-2015 的评估工作。 4.1.2关键业务原则 信息安全风险评估应以被评估组织的关键业务作为评估工作的核心，把涉及这些业务的相关网络 与系统，包括基础网络、业务网络、应用基础平台、业务应用平台等作为评估的重点。 4.1.3可控性原则 制，以保证风险评估实施过程的可控和安全。 a）服务可控性： 评估方应事先在评估工作沟通会议中向用户介绍评估服务流程，明确需要得到被评估组织协作的 工作内容，确保安全评估服务工作的顺利进行。 b）人员与信息可控性： 所有参与评估的人员应签署保密协议，以保证项目信息的安全；应对工作过程数据和结果数据严格 管理，未经授权不得泄露给任何单位和个人。 c）过程可控性： 应按照项目管理要求，成立项目实施团队，项目组长负责制，达到项目过程的可控。 d）工具可控性： 安全评估人员所使用的评估工具应该事先通告用户，并在项目实施前获得用户的许可，包括产品本 身、测试策略等。 4.1.4最小影响原则 对于在线业务系统的风险评估，应采用最小影响原则，即首要保障业务系统的稳定运行，而对于需 要进行攻击性测试的工作内容，需与用户沟通并进行应急备份，同时选择避开业务的高峰时间进行。 4.2实施的基本流程 GB/T20984一2007规定了风险评估的实施流程，根据流程中的各项工作内容，一般将风险评估实 施划分为评估准备、风险要素识别、风险分析与风险处理四个阶段。其中，评估准备阶段工作是对评估 实施有效性的保证，是评估工作的开始；风险要素识别阶段工作主要是对评估活动中的各类关键要素资 产、威胁、脆弱性、安全措施进行识别与赋值；风险分析阶段工作主要是对识别阶段中获得的各类信息进 行关联分析，并计算风险值；风险处理建议工作主要针对评估出的风险，提出相应的处置建议，以及按照 处置建议实施安全加固后进行残余风险处理等内容。 4.3．风险评估的工作形式 自评估是信息系统拥有、运营或使用单位发起的对本单位信息系统进行的风险评估，可由发起方实 施或委托信息安全服务组织支持实施。实施自评估的组织可根据组织自身的实际需求进行评估目标的 设立，采用完整或剪裁的评估活动。 检查评估是信息系统上级管理部门或国家有关职能部门依法开展的风险评估，检查评估也可委托 信息安全服务组织支持实施。检查评估除可对被检查组织的关键环节或重点内容实施抽样评估外，还 可实施完整的风险评估。 信息安全风险评估应以自评估为主，自评估和检查评估相互结合、互为补充。 3