信息安全風(fēng)險(xiǎn)評(píng)估/管理相關(guān)國(guó)家標(biāo)準(zhǔn)介紹

謝宗曉（南開(kāi)大學(xué)商學(xué)院）劉立科（中國(guó)重汽集團(tuán)濟(jì)南橡塑件有限公司）

?

信息安全風(fēng)險(xiǎn)評(píng)估/管理相關(guān)國(guó)家標(biāo)準(zhǔn)介紹

謝宗曉（南開(kāi)大學(xué)商學(xué)院）
劉立科（中國(guó)重汽集團(tuán)濟(jì)南橡塑件有限公司）

摘要：本文介紹了信息安全風(fēng)險(xiǎn)評(píng)估/管理的相關(guān)標(biāo)準(zhǔn)，其中包括：（1）GB/T 20984—2007《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》；（2）GB/Z 24364—2009《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)管理指南》；（3）GB/T 31509—2015《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施指南》；（4）GB/T 31722—2015 / ISO/IEC 27005：2008《信息安全技術(shù)信息安全風(fēng)險(xiǎn)管理》；（5）《信息安全技術(shù)信息安全風(fēng)險(xiǎn)處理實(shí)施指南》（征求意見(jiàn)稿）。

關(guān)鍵詞：信息安全風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)應(yīng)對(duì)

謝宗曉　博士

“十二五”國(guó)家重點(diǎn)圖書(shū)出版規(guī)劃項(xiàng)目《信息安全管理體系叢書(shū)》執(zhí)行主編。自2003年起，從事信息安全風(fēng)險(xiǎn)評(píng)估與信息安全管理體系的咨詢與培訓(xùn)工作。目前，已發(fā)表論文42篇，出版專著12本。

信息安全管理系列之十六

無(wú)論是信息安全管理體系（ISMS），還是信息系統(tǒng)安全等級(jí)保護(hù)，幾乎所有的信息安全管理最佳實(shí)踐都以風(fēng)險(xiǎn)管理為基礎(chǔ)。信息安全風(fēng)險(xiǎn)評(píng)估/管理實(shí)踐往往依據(jù)一系列的標(biāo)準(zhǔn)，下文中對(duì)與信息安全風(fēng)險(xiǎn)評(píng)估/管理相關(guān)的國(guó)家標(biāo)準(zhǔn)做了大致的介紹。

謝宗曉（特約編輯）

表1　信息安全風(fēng)險(xiǎn)評(píng)估/管理相關(guān)國(guó)家標(biāo)準(zhǔn)

一般而言，風(fēng)險(xiǎn)應(yīng)對(duì)（風(fēng)險(xiǎn)處理）不會(huì)作為單獨(dú)的標(biāo)準(zhǔn)出現(xiàn)，而是作為風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)的一部分。但是國(guó)家標(biāo)準(zhǔn)在實(shí)施指南的層次將信息安全風(fēng)險(xiǎn)管理分成了兩個(gè)標(biāo)準(zhǔn)，分別為GB/T 31509—2015《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施指南》和《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)處理實(shí)施指南》（征求意見(jiàn)稿）。

圖1　風(fēng)險(xiǎn)分析原理圖

當(dāng)然，2012年9月發(fā)布的NIST SP 800-30 Rev1，新標(biāo)題為：Guide for Conducting Risk Assessments（風(fēng)險(xiǎn)評(píng)估實(shí)施指南）。對(duì)比2002年版本標(biāo)題：Risk Management Guide for Information Technology Systems （IT系統(tǒng)風(fēng)險(xiǎn)管理指南），也存在這種趨勢(shì)。

1　GB/T 20984—2007

GB/T 20984—2007是信息安全領(lǐng)域應(yīng)用最廣泛的國(guó)家標(biāo)準(zhǔn)之一，在風(fēng)險(xiǎn)分析原理的基礎(chǔ)上，給出了風(fēng)險(xiǎn)評(píng)估的實(shí)施流程。其中風(fēng)險(xiǎn)分析原理如圖1所示。

在圖1的風(fēng)險(xiǎn)分析原理中，標(biāo)識(shí)A，在所有的標(biāo)準(zhǔn)中基本都保持了一致，即風(fēng)險(xiǎn)是可能性和影響的函數(shù)。脆弱性的嚴(yán)重程度同時(shí)影響安全事件可能性和損失的大小，標(biāo)識(shí)B強(qiáng)調(diào)損壞的程度，標(biāo)識(shí)C則強(qiáng)調(diào)利用的難易程度，當(dāng)然這兩者都可以稱為嚴(yán)重程度。在GB/T 20984—2007的“表10 脆弱性嚴(yán)重程度賦值表”中，脆弱性的難易程度沒(méi)有損壞程度描述的充分。在《Microsoft安全風(fēng)險(xiǎn)管理指南》4））《Microsoft安全風(fēng)險(xiǎn)管理指南》，發(fā)布于2004年，全文下載在https://technet.microsoft.com/。中有更細(xì)致的計(jì)算方式。

與ISO/IEC 27005：2008相似，在GB/T 20984—2007的5.4.1中也強(qiáng)調(diào)了“威脅總是要利用資產(chǎn)的脆弱性才可造成危害”，但標(biāo)準(zhǔn)中對(duì)威脅與脆弱性的賦值都是單獨(dú)進(jìn)行的。

GB/T 20984—2007的風(fēng)險(xiǎn)評(píng)估的實(shí)施步驟與NIST SP 800-30（2002年第1版）基本保持了一致，GB/T 20984—2007也描述了信息系統(tǒng)生命周期各階段的風(fēng)險(xiǎn)評(píng)估。

2　GB/Z 24364—2009

GB/Z 24364—2009并沒(méi)有專注于描述流程，而是更關(guān)注文檔，因此對(duì)于信息安全風(fēng)險(xiǎn)管理過(guò)程文檔的描述非常清晰，本文中不再做詳細(xì)的介紹5））信息安全風(fēng)險(xiǎn)管理的國(guó)家標(biāo)準(zhǔn)正在升級(jí)，在《國(guó)家標(biāo)準(zhǔn)〈信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施指南〉（送審稿）編制說(shuō)明》（正式發(fā)布后就是GB/T 31509—2015）的2.2中提到“結(jié)合國(guó)家信息中心正在編寫的《信息安全風(fēng)險(xiǎn)管理規(guī)范》標(biāo)準(zhǔn)草案”。在后續(xù)的信息安全管理系列中，我們會(huì)陸續(xù)介紹。。

3　GB/T 31509—2015

GB/T 31509—2015是GB/T 20984—2007的操作性指導(dǎo)標(biāo)準(zhǔn)，從風(fēng)險(xiǎn)評(píng)估工作開(kāi)展的組織、管理、流程、文檔、審核等幾個(gè)方面進(jìn)行了細(xì)化。

GB/T 31509—2015沿用了GB/T 20984—2007 的風(fēng)險(xiǎn)評(píng)估流程，同時(shí)對(duì)GB/T 20984—2007中的“風(fēng)險(xiǎn)評(píng)估的工作形式”和“信息系統(tǒng)生命周期內(nèi)的風(fēng)險(xiǎn)評(píng)估”的內(nèi)容重新進(jìn)行了說(shuō)明，但篇幅大大縮減。

一個(gè)較為顯著的變化是，GB/T 31509—2015引用了GB/T 22239—2008《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》，在脆弱性識(shí)別的過(guò)程中，增加了“安全技術(shù)脆弱性核查”和“安全管理脆弱性核查”，在附錄中還給出了詳細(xì)的核查列表。

GB/T 31509—2015很有指導(dǎo)意義。

4　GB/T 31722—2015/ ISO/IEC 27005：2008

ISO/IEC 27005是信息安全管理體系（Information Security Management System，ISMS）標(biāo)準(zhǔn)族的重要標(biāo)準(zhǔn)之一，可以滿足ISO/IEC 27005中對(duì)風(fēng)險(xiǎn)管理的要求。

ISO/IEC 27005最新版本為2011版（第2版）。由于ISO/IEC 27000標(biāo)準(zhǔn)族成員變動(dòng)頻繁，導(dǎo)致ISO/ IEC 27005：2008存在一個(gè)問(wèn)題，在討論的開(kāi)始，首先就對(duì)風(fēng)險(xiǎn)管理的過(guò)程與PDCA進(jìn)行了映射，但是新版的ISO/IEC 27001：2013卻已經(jīng)棄用了PDCA 模型。

ISO/IEC 27005：2008有兩個(gè)顯著的特點(diǎn)：

（1）將威脅和脆弱性首次以成對(duì)的形式出現(xiàn)在附錄中。當(dāng)然，更早出現(xiàn)在其前身標(biāo)準(zhǔn)BS7799-36））BS 7799-3：2006Guidelines for information security risk management，在2008年成為國(guó)際標(biāo)準(zhǔn)之后，英國(guó)國(guó)家標(biāo)準(zhǔn)的標(biāo)識(shí)為：BS ISO/IEC 27005：2008。。由于威脅和脆弱性單獨(dú)都不足以形成風(fēng)險(xiǎn)，因此對(duì)一個(gè)具體的組織而言，威脅脆弱性對(duì)的性質(zhì)才是關(guān)注的重點(diǎn)，而單一的威脅或脆弱性列表更適合做成字典表供選擇。

（2）開(kāi)始考慮情境（context）7））Context詞匯的原意為“上下文”，在研究領(lǐng)域經(jīng)常翻譯為情境，實(shí)際上在此處就是上下文的意思。的建立。情境包括了一系列的內(nèi)容，例如，基本準(zhǔn)則、范圍和邊界以及信息安全風(fēng)險(xiǎn)管理組織等，實(shí)際上就是包括了主要的準(zhǔn)備活動(dòng)。在ISO/IEC 27001的2013版本中，也用了這個(gè)詞匯，在2005版中則沒(méi)有。

GB/T 31722—2015 / ISO/IEC 27005：2008中信息安全風(fēng)險(xiǎn)管理過(guò)程由語(yǔ)境建立（第7章）、風(fēng)險(xiǎn)評(píng)估（第8章）、風(fēng)險(xiǎn)處置（第9章）、風(fēng)險(xiǎn)接受（第10章）、風(fēng)險(xiǎn)溝通（第11章）和風(fēng)險(xiǎn)監(jiān)視與評(píng)審（第12章）組成，對(duì)每一個(gè)過(guò)程的描述非常清晰，依次劃分為：輸入、動(dòng)作、實(shí)施指南和輸出。

5　信息安全風(fēng)險(xiǎn)處理8））由于英文詞匯是risk treatment，可能引起歧義。在《意見(jiàn)匯總處理表》中有一條意見(jiàn)為 “風(fēng)險(xiǎn)處理的定義還應(yīng)該進(jìn)一步斟酌”，因此其中的相關(guān)詞匯可能會(huì)修改。實(shí)施指南

GB/T 20984—2007、GB/Z 24364—2009、GB/T 31509—2015和《信息安全技術(shù)信息安全風(fēng)險(xiǎn)處理實(shí)施指南》這4個(gè)國(guó)家標(biāo)準(zhǔn)的第一起草單位都是國(guó)家信息中心。

《信息安全技術(shù)信息安全風(fēng)險(xiǎn)處理實(shí)施指南》（征求意見(jiàn)稿）包括了三個(gè)階段的工作，分別為：風(fēng)險(xiǎn)處理準(zhǔn)備階段、風(fēng)險(xiǎn)處理實(shí)施階段和風(fēng)險(xiǎn)處理效果評(píng)價(jià)階段。

第一個(gè)步驟是風(fēng)險(xiǎn)處理準(zhǔn)備，確定風(fēng)險(xiǎn)處理的范圍，明確風(fēng)險(xiǎn)處理的依據(jù)，組建風(fēng)險(xiǎn)處理團(tuán)隊(duì)，設(shè)定風(fēng)險(xiǎn)處理的目標(biāo)和可接受準(zhǔn)則，選擇風(fēng)險(xiǎn)處理方式，明確風(fēng)險(xiǎn)處理資源，形成風(fēng)險(xiǎn)處理計(jì)劃，并得到管理層對(duì)風(fēng)險(xiǎn)處理計(jì)劃的批準(zhǔn)。

第二個(gè)步驟是風(fēng)險(xiǎn)處理實(shí)施，準(zhǔn)備風(fēng)險(xiǎn)處理備選措施，進(jìn)行成本效益分析和殘余風(fēng)險(xiǎn)分析，對(duì)處理措施進(jìn)行風(fēng)險(xiǎn)分析并制定應(yīng)急計(jì)劃，編制風(fēng)險(xiǎn)處理方案，待處理方案獲得批準(zhǔn)后，要對(duì)風(fēng)險(xiǎn)處理措施進(jìn)行測(cè)試，測(cè)試完成后，正式實(shí)施。在處理措施的實(shí)施過(guò)程中，要加強(qiáng)監(jiān)管與審核。

第三個(gè)步驟是風(fēng)險(xiǎn)處理效果評(píng)價(jià)，制定評(píng)價(jià)原則和方案，開(kāi)展評(píng)價(jià)實(shí)施工作，對(duì)沒(méi)有達(dá)到處理目的的風(fēng)險(xiǎn)，要進(jìn)行持續(xù)改進(jìn)。風(fēng)險(xiǎn)處理工作是持續(xù)性的活動(dòng)，當(dāng)受保護(hù)系統(tǒng)的政策環(huán)境、業(yè)務(wù)目標(biāo)、安全目標(biāo)和特性發(fā)生變化時(shí)，需要再次進(jìn)入上述步驟。

綜上所述，信息安全風(fēng)險(xiǎn)評(píng)估/管理相關(guān)國(guó)家標(biāo)準(zhǔn)的概述如表2所示。

表2　信息安全風(fēng)險(xiǎn)評(píng)估/管理相關(guān)國(guó)家標(biāo)準(zhǔn)的概述

參考文獻(xiàn)

［1］趙戰(zhàn)生，謝宗曉.信息安全風(fēng)險(xiǎn)評(píng)估——概念、方法和實(shí)踐（第2版）［M］.北京：中國(guó)標(biāo)準(zhǔn)出版社，2016.

［2］謝宗曉.信息安全風(fēng)險(xiǎn)管理相關(guān)詞匯定義與解析［J］.中國(guó)標(biāo)準(zhǔn)導(dǎo)報(bào)，2016（4）.

Introduction of Standards Related to Risk Assessment / Management

Xie Zongxiao （ Business School， Nankai University ）
Liu Like （ Sinotruk Jinan Rubber & Plastic Parts Co.， Ltd.）

Abstract:In this paper， we introduce standards related to risk assessment / management， including: （1）GB/T 20984—2007 Information security technology—Risk assessment specification for information security； （2） GB/Z 24364—2009 Information security technology—Guidelines for information security risk management； （3） GB/T 31509—2015 Information security technology—Guide of implementation for information security risk assessment； （4） GB/T 31722—2015 / ISO/IEC 27005: 2008Information technology—Security techniques—Information security risk management；（5） Information security technology—Guide of implementation for information security risk treatment.

Key words:information security， risk assessment， risk management， risk treatmentbook=31,ebook=33截至2015年12月，我國(guó)已經(jīng)發(fā)布的信息安全風(fēng)險(xiǎn)評(píng)估/管理的相關(guān)國(guó)家標(biāo)準(zhǔn)如表1所示。