GB-T 31722-2015 信息技术 安全技术 信息安全风险管理.pdf

1、I C S3 5.0 4 0L8 0中 华 人 民 共 和 国 国 家 标 准G B/T3 1 7 2 22 0 1 5/I S O/I E C2 7 0 0 5:2 0 0 8信息技术 安全技术信息安全风险管理I n f o r m a t i o nt e c h n o l o g yS e c u r i t y t e c h n i q u e sI n f o r m a t i o ns e c u r i t yr i s km a n a g e m e n t(I S O/I E C2 7 0 0 5:2 0 0 8,I D T)2 0 1 5-0 6-0 2发布2 0

2、1 6-0 2-0 1实施中华人民共和国国家质量监督检验检疫总局中 国 国 家 标 准 化 管 理 委 员 会发 布目 次前言引言1 范围12 规范性引用文件13 术语和定义14 本标准结构25 背景36 信息安全风险管理过程概述37 语境建立58 信息安全风险评估79 信息安全风险处置1 31 0 信息安全风险接受1 61 1 信息安全风险沟通1 61 2 信息安全风险监视和评审1 7附录A(资料性附录)确定信息安全风险管理过程的范围和边界1 9附录B(资料性附录)资产识别和估价以及影响评估2 2附录C(资料性附录)典型威胁示例2 8附录D(资料性附录)脆弱性和脆弱性评估方法3 1附录E(资

3、料性附录)信息安全评估方法3 5附录F(资料性附录)风险降低的约束4 0参考文献4 2G B/T3 1 7 2 22 0 1 5/I S O/I E C2 7 0 0 5:2 0 0 8前 言 本标准按照G B/T1.12 0 0 9给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准使用翻译法等同采用I S O/I E C2 7 0 0 5:2 0 0 8 信息技术 安全技术 信息安全风险管理(英文版)。本标准做了以下修改:对引言做了一些编辑性修改。本标准由全国信息安全标准化技术委员会(S A C/T C2 6 0)提出并归口。本标准起草单位:

4、中国电子技术标准化研究院、上海三零卫士信息安全有限公司、中电长城网际系统应用有限公司、山东省计算中心、北京信息安全测评中心。本标准主要起草人:许玉娜、闵京华、上官晓丽、董火民、赵章界、李刚、周鸣乐。G B/T3 1 7 2 22 0 1 5/I S O/I E C2 7 0 0 5:2 0 0 8引 言 信息安全管理体系标准族(I n f o r m a t i o nS e c u r i t yM a n a g e m e n tS y s t e m,简称I S M S标准族)是国际信息安全技术标准化组织(I S O/I E CJ T C 1S C 2 7)制定的信息安全管理体系系列国

5、际标准。I S M S标准族旨在帮助各种类型和规模的组织,开发和实施管理其信息资产安全的框架,并为保护组织信息(诸如,财务信息、知识产权、员工详细资料,或者受客户或第三方委托的信息)的I S M S的独立评估做准备。I S M S标准族包括的标准:a)定义了I S M S的要求及其认证机构的要求;b)提供了对整个“规划-实施-检查-处置”(P D C A)过程和要求的直接支持、详细指南和(或)解释;c)阐述了特定行业的I S M S指南;d)阐述了I S M S的一致性评估。目前,I S M S标准族由下列标准组成:G B/T2 9 2 4 62 0 1 2 信 息 技 术 安 全 技 术 信

6、 息 安 全 管 理 体 系 概 述 和 词 汇(I S O/I E C2 7 0 0 0:2 0 0 9)G B/T2 2 0 8 02 0 0 8 信息技术 安全技术 信息安全管理体系 要求(I S O/I E C2 7 0 0 1:2 0 0 5)G B/T2 2 0 8 12 0 0 8 信息技术 安全技术 信息安全管理实用规则(I S O/I E C2 7 0 0 2:2 0 0 5)G B/T3 1 4 9 62 0 1 5 信息技术 安全技术 信息安全管理体系实施指南(I S O/I E C2 7 0 0 3:2 0 1 0)G B/T3 1 4 9 72 0 1 5 信息技术

7、安全技术 信息安全管理 测量(I S O/I E C2 7 0 0 4:2 0 0 9)G B/T3 1 7 2 22 0 1 5 信息技术 安全技术 信息安全风险管理(I S O/I E C2 7 0 0 5:2 0 0 8)G B/T2 5 0 6 72 0 1 0 信息技术 安全技术 信息安全管理体系审核认证机构的要求(I S O/I E C2 7 0 0 6:2 0 0 7)I S O/I E C2 7 0 0 7:2 0 1 1 信息技术 安全技术 信息安全管理体系审核指南 I S O/I E CT R2 7 0 0 8:2 0 1 1 信息技术 安全技术 信息安全控制措施审核员指南

8、 I S O/I E C2 7 0 1 0:2 0 1 2 信息技术 安全技术 行业间及组织间通信的信息安全管理 I S O/I E C2 7 0 1 1:2 0 0 8 信息技术 安全技术 基于I S O/I E C2 7 0 0 2的电信行业组织的信息安全管理指南 I S O/I E C2 7 0 1 3:2 0 1 2 信息技术 安全技术 I S O/I E C2 7 0 0 1和I S O/I E C2 0 0 0 0-1集成实施指南 I S O/I E C2 7 0 1 4:2 0 1 3 信息技术 安全技术 信息安全治理 I S O/I E CT R2 7 0 1 5:2 0 1

9、2 信息技术 安全技术 金融服务信息安全管理指南本标准作为I S M S标 准 族 之 一,为 组 织 内 的 信 息 安 全 风 险 管 理 提 供 指 南,特 别 是 支 持 按 照G B/T2 2 0 8 0的I S M S要求。然而,本标准不提供信息安全风险管理的任何特定方法。由组织来确定其风险管理方法,这取决于诸如组织的I S M S范围、风险管理语境或所处行业。一些现有的方法可在本标准描述的框架下使用,以实现I S M S的要求。本标准的相关方包括关心组织内信息安全风险的管理者和员工以及(在适当情况下)支持这种活动的外部方。G B/T3 1 7 2 22 0 1 5/I S O/I

10、 E C2 7 0 0 5:2 0 0 8信息技术 安全技术信息安全风险管理1 范围本标准为信息安全风险管理提供指南。本标准支持G B/T2 2 0 8 0所规约的一般概念,旨在为基于风险管理方法来符合要求地实现信息安全提供帮助。知晓G B/T2 2 0 8 0和G B/T2 2 0 8 1中所描述的概念、模型、过程和术语,对于完整地理解本标准是重要的。本标准适用于各种类型的组织(例如,商务企业、政府机构、非盈利性组织),这些组织期望管理可能危及其信息安全的风险。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其

11、最新版本(包括所有的修改单)适用于本文件。G B/T2 2 0 8 02 0 0 8 信息技术 安全技术 信息安全管理体系 要求(I S O/I E C2 7 0 0 1:2 0 0 5,I D T)G B/T2 2 0 8 12 0 0 8 信息技术 安全技术 信息安全管理实用规则(I S O/I E C2 7 0 0 2:2 0 0 5,I D T)3 术语和定义G B/T2 2 0 8 02 0 0 8和G B/T2 2 0 8 12 0 0 8中界定的以及下列术语和定义适用于本文件。3.1 影响 i m p a c t对所达到业务目标的不利改变。3.2 信息安全风险 i n f o r

12、 m a t i o ns e c u r i t yr i s k特定威胁利用单个或一组资产脆弱性的可能性以及由此可能给组织带来的损害。注:它以事态的可能性及其后果的组合来度量。3.3 风险规避 r i s ka v o i d a n c e不卷入风险处境的决定或撤离风险处境的行动。I S O/I E CG u i d e7 3:2 0 0 23.4 风险沟通 r i s kc o mm u n i c a t i o n决策者和其他利益相关者之间关于风险的信息交换或共享。I S O/I E CG u i d e7 3:2 0 0 2 1G B/T3 1 7 2 22 0 1 5/I S

13、O/I E C2 7 0 0 5:2 0 0 83.5 风险估算 r i s ke s t i m a t i o n为风险的可能性和后果赋值的活动。I S O/I E CG u i d e7 3:2 0 0 2 3.6 风险识别 r i s ki d e n t i f i c a t i o n发现和列出风险要素并描述其特征的活动。I S O/I E CG u i d e7 3:2 0 0 2 3.7 风险降低 r i s kr e d u c t i o n为降低风险的可能性和(或)负面结果所采取的行动。I S O/I E CG u i d e7 3:2 0 0 2 3.8 风险保留 r

14、 i s kr e t e n t i o n对来自特定风险的损失或收益的接受。I S O/I E CG u i d e7 3:2 0 0 2 注:在信息安全风险的语境下,对于风险保留仅考虑负面后果(损失)。3.9 风险转移 r i s kt r a n s f e r与另一方对风险带来的损失或收益的共享。I S O/I E CG u i d e7 3:2 0 0 2 注:在信息安全风险的语境下,对于风险转移仅考虑负面结果(损失)。4 本标准结构本标准描述了信息安全风险管理过程及其活动。第5章提供了背景信息。第6章给出了信息安全风险管理过程的总体概述。第6章提出的所有信息安全风险管理活动在以下

15、各章中依次进行了描述:第7章 语境建立;第8章 风险评估;第9章 风险处置;第1 0章 风险接受;第1 1章 风险沟通;第1 2章 风险监视与评审。附录中给出了信息安全风险管理活动的其他信息。附录A(确定信息安全风险管理过程的范围和边界)对语境建立提供支持。附录B(资产示例)、附录C(典型威胁示例)和附录D(典型脆弱性示例)讨论了资产识别和估价以及影响评估。附录E给出了信息安全风险评估方法的示例。附录F给出了风险降低的约束。第7章第1 2章给出的所有风险管理活动的表述结构如下:输入:标识执行该活动所需的任何信息。动作:描述活动。2G B/T3 1 7 2 22 0 1 5/I S O/I E

16、C2 7 0 0 5:2 0 0 8实施指南:为执行该动作提供指南。指南中的某些内容可能不适用于所有情况,因此执行该动作的其他方法可能更合适。输出:标识执行该活动后得到的任何信息。5 背景为识别组织的信息安全需求和创建有效的信息安全管理体系(I S M S),一种系统化的信息安全风险管理方法是必要的。这种方法宜适用于该组织的环境,特别是与整个组织风险管理宜保持一致。安全工作宜以有效和及时的方式在需要的地方和时候处理风险。信息安全风险管理宜是所有信息安全管理活动中不可分割的一部分,并既应用于I S M S的实施,也应用于I S M S的持续运行。信息安全风险管理宜是一个持续的过程。该过程宜建立语

17、境,评估风险以及按风险处置计划进行风险处置以实现相关的建议和决策。风险管理为将风险降低至可接受的水平,在决定宜做什么和什么时候做之前,分析可能发生什么和可能的后果是什么。信息安全风险管理将有助于:识别风险;以风险造成的业务后果和发生的可能性来评估风险;沟通和理解这些风险的可能性和后果;建立风险处置的优先顺序;建立为降低风险发生所采取行动的优先级;使利益相关方参与风险管理决策并持续告知风险管理状态;监视风险处置的有效性;监视和定期评审风险及风险管理过程;获取信息以改进风险管理方法;向管理者和员工传授风险知识以及减轻风险所采取的行动。信息安全风险管理过程可应用于整个组织、组织的任何独立部分(例如,

18、一个部门、一处物理位置、一项服务)、任何信息系统、现有的或计划的或特定方面的控制措施(例如,业务持续性计划)。6 信息安全风险管理过程概述信息安全风险管理过程由语境建立(第7章)、风险评估(第8章)、风险处置(第9章)、风险接受(第1 0章)、风险沟通(第1 1章)和风险监视与评审(第1 2章)组成。如图1所示,信息安全风险管理过程可以迭代地进行风险评估和(或)风险处置活动。迭代方法进行风险评估可在每次迭代时增加评估的深度和细节。该迭代方法在最小化识别控制措施所需的时间和精力与确保高风险得到适当评估之间,提供了一个良好的平衡。首先建立语境,然后进行风险评估。对于有效地确定将风险降低至可接受水平

19、所需行动,如果风险评估提供了足够的信息,那么就结束该风险评估,接下来进行风险处置。如果提供的信息不够充分,那么将在修订的语境(例如,风险评价准则、风险接受准则或影响准则)下进行该风险评估的另一次迭代(见图1,风险决策点1)。此次迭代可能是在整个范围的有限部分上进行。风险处置的有效性取决于该风险评估的结果。风险处置后的残余风险可能不会立即达到一个可接受的水平。在这种情况下,如果必要的话,可能需要在改变的语境参数(例如,风险评估准则、风险接受准则或影响准则)下进行该风险评估的另一次迭代,以及随后的进一步风险处置(见图1,风险决策点2)。风险接受活动要确保残余风险被组织的管理者明确地接受。在诸如由于

20、成本而省略或推迟实施控制措施的情况下,这点尤其重要。3G B/T3 1 7 2 22 0 1 5/I S O/I E C2 7 0 0 5:2 0 0 8在整个信息安全风险管理过程期间,重要的是将风险及其处置传达至适当的管理者和运行人员。即使是风险处置前,已识别的风险信息对管理事件可能是非常有价值的,并可能有助于减少潜在损害。管理者和员工的风险意识、缓解风险的现有控制措施的性质以及组织关注的领域,这些均有助于以最有效的方式处理事件和意外情况。信息安全风险管理过程的每个活动以及来自两个风险决策点的详细结果均宜记录在案。G B/T2 2 0 8 0规定,I S M S的范围、边界和语境内所实施的控

21、制措施应基于风险。信息安全风险管理过程的应用能够满足这一要求。有许多方法可以在组织内成功地实施此过程。但无论什么方法,组织宜为此过程的每一特定应用,选用最适合自身情况的方法。在一个I S M S中,语境建立、风险评估、风险处置计划制定和风险接受是其“规划”阶段的全部。在此I S M S的“实施”阶段,依据风险处置计划,实施将风险降低到可接受水平所需的行动和控制措施。在此I S M S的“检查”阶段,管理者将根据事件和环境变化来确定风险评估和风险处置修订的需要。在“处置”阶段,执行所需的任何行动,包括风险管理过程的再次应用。图1 信息安全风险管理过程表1总结了与I S M S过程的四个阶段相关的

22、信息安全风险管理活动。4G B/T3 1 7 2 22 0 1 5/I S O/I E C2 7 0 0 5:2 0 0 8表1 I S M S和信息安全风险管理过程对照表I S M S过程信息安全风险管理过程规划语境建立风险评估风险处置计划制定风险接受实施风险处置计划实施检查持续的风险监视与评审处置信息安全风险管理过程保持与改进7 语境建立7.1 总体考虑输入:与信息安全风险管理语境建立相关的所有关于组织的信息。动作:宜建立信息安全风险管理的语境,包括设定信息安全风险管理所必要的基本准则(7.2),确定其范围和边界(7.3),并建立运行信息安全风险管理的一个适当组织(7.4)。实施指南:确定

23、信息安全风险管理的目的是必不可少的,因为这会影响整个过程,尤其是语境建立。目的可以是:支持I S M S;遵从法律和证明尽职;准备业务持续性计划;准备事件响应计划;描述产品、服务或机制的信息安全要求。支持I S M S所需的语境建立要素的实施指南在7.2、7.3和7.4中进一步讨论。注:G B/T2 2 0 8 0没有使用术语“语境”。然而,第7章的所有内容都与G B/T2 2 0 8 0中规定的“确定I S M S的范围和边界”4.2.1a)“确定I S M S方针”4.2.1b)和“确定风险评估方法”4.2.1c)要求有关。输出:对信息安全风险管理过程的基本准则、范围和边界以及组织的规定。

24、7.2 基本准则根据风险管理的范围和目标,可应用不同的方法。对于每次迭代,其方法可能是不同的。宜选择或开发一个适当的风险管理方法来确立诸如风险评价准则、影响准则、风险接受准则等基本准则。另外,组织宜评估下述工作的必要资源是否可用:执行风险评估,建立风险处置计划;确定并实施策略和规程,包括实施所选的控制措施;监视控制措施;监视信息安全风险管理过程。注:见G B/T2 2 0 8 02 0 0 8中5.2.1有关实施和运行I S M S的资源供给。风险评价准则5G B/T3 1 7 2 22 0 1 5/I S O/I E C2 7 0 0 5:2 0 0 8宜通过考虑如下因素,开发风险评价准则来

25、评价组织的信息安全风险:业务信息过程的战略价值;所涉及信息资产的关键性;法律法规和规章制度的要求,以及合同义务;可用性、保密性和完整性对运营和业务的重要性;利益相关方的期望和观点,以及对信誉和和名誉的负面结果。另外,风险评价准则可被用于规定风险处置的优先级。影响准则宜通过考虑如下因素,从信息安全事态给组织带来的损害程度或代价的角度来开发和规定影响准则:受影响的信息资产的级别;破坏信息安全(例如,保密性、完整性和可用性的丧失);受损的运行(内部或第三方的);业务和财务价值的损失;计划中断和最终期限;名誉损害;违反法律法规、规章制度或合同要求。注:见G B/T2 2 0 8 02 0 0 8中4.

26、2.1d)4)有关识别丧失保密性、完整性和可用性的影响准则。风险接受准则宜开发和规定风险接受准则。风险接受准则通常取决于组织的方针策略、目标和利益相关方的利益。组织宜对风险接受水平确定其自身的尺度。在开发中宜考虑以下因素:对于一个期望的风险目标水平,风险接受准则可能包括多个阈值,但允许高级管理者在界定的环境下接受高于这一水平的风险;风险接受准则可能表示为估算收益(或其他商业利益)与估算风险的比率;不同的风险接受准则可能适用于不同类别的风险,例如,不符合法律法规或规章制度的风险可能不被接受,然而,如果高风险的接受作为一项合同要求有所规定,则可能允许接受高风险;风险接受准则可能包括对将来附加处置的

27、要求,例如,如果批准并承诺在确定的时间内采取行动将风险降到可接受水平,则此风险可能被接受。根据风险预计存在时间的长短,例如,风险可能与临时或短期的活动有关,风险接受准则可能不同。风险接受准则的建立宜考虑以下因素:业务准则;法律法规和规章制度方面;运行;技术;财务;社会和人道主义因素。注:风险接受准则对应于G B/T2 2 0 8 02 0 0 8中4.2.1c)2)规定的“制定接受风险的准则,识别可接受的风险级别”。更多信息可参见附录A。7.3 范围和边界组织宜确定信息安全风险管理的范围和边界。6G B/T3 1 7 2 22 0 1 5/I S O/I E C2 7 0 0 5:2 0 0

28、8信息安全风险管理过程的范围需要被确定,以确保所有相关的资产在风险评估中都被考虑到。此外,边界也需要被识别见G B/T2 2 0 8 02 0 0 8中4.2.1a),以便考虑到通过这些边界可能引起的风险。宜收集组织的相关信息,以决定其运营所处环境及其与信息安全风险管理过程的关联。当确定范围和边界时,组织宜考虑以下信息:组织的战略性业务目标、战略和策略;业务过程;组织的功能和结构;适用于组织的法律法规和规章制度以及合同要求;组织的信息安全方针;组织的整体风险管理方法;信息资产;组织场所及其地理特征;影响组织的制约因素;利益相关方的期望;社会文化环境;接口(即与所处环境的信息交换)。此外,组织宜

29、对从范围中的任何排除提供正当理由。风险管理范围的例子可能是某个I T应用、I T基础设施、某个业务过程或组织的某个界定部分。注:信息安全风险管理的范围和边界与G B/T2 2 0 8 02 0 0 8中4.2.1a)要求的I S M S范围和边界有关。更多信息可参见附录A。7.4 信息安全风险管理机构宜建立并保持信息安全风险管理过程的机构及其职责。该机构的主要角色和职责如下:开发适用于组织的信息安全风险管理过程;识别和分析利益相关者;确定组织内部和外部所有相关方的角色和职责;建立组织和利益相关方之间所需要的联系,以及与组织高层风险管理功能(例如,运营风险管理)的接口和与其他相关项目或活动的接口

30、;确定决策升级路径;规范要保存的记录。该机构宜得到适当的组织管理者的批准。注:G B/T2 2 0 8 0要求确定并提供建立、实施、运行、监视、评审、保持和改进I S M S所需的资源G B/T2 2 0 8 02 0 0 8中5.2.1a)。风险管理运行机构可被看作G B/T2 2 0 8 0所要求的资源之一。8 信息安全风险评估8.1 信息安全风险评估总体描述注:在G B/T2 2 0 8 0中,风险评估活动被称为过程。输入:为信息安全风险管理过程而建立的基本准则、范围和边界以及组织。动作:宜识别风险,量化或定性地描述风险,并按照风险评价准则和组织相关目标按优先顺序排列风险。实施指南:风险

31、是有害事态发生所带来的后果与该事态发生的可能性的组合。风险评估量化或定性地描述风7G B/T3 1 7 2 22 0 1 5/I S O/I E C2 7 0 0 5:2 0 0 8险,并使管理者能根据其感知的严重性或其他已建立的准则按优先顺序排序风险。风险评估由以下活动组成:风险分析(8.2)包括:风险识别(8.2.1);风险估算(8.2.2)。风险评价(8.3)。风险评估确定信息资产的价值,识别存在(或可能存在)的适用威胁和脆弱性,识别现有的控制措施及其对已识别风险的效果,确定潜在的后果,最后,按优先顺序排列所得出的风险,并按照语境建立时确定的风险评价准则评定等级。风险评估通常进行两次(或

32、多次)迭代。首先,进行高层评估来识别潜在的高风险,作为进一步评估的根据。下一次迭代可能对初始迭代所揭示的潜在高风险做进一步的深入考虑。如果这还不能提供足够的信息来评估风险,那么将会进行更加细致的分析,这可能是针对整个范围的某些部分,还可能是使用一种不同的方法。由组织基于其风险评估的目标和对象,自行选择其自身的风险评估方法。有关信息安全风险评估方法的讨论可参见附录E。输出:按照风险评价准则,按优先顺序排列的已评估风险的列表。8.2 风险分析8.2.1 风险识别8.2.1.1 风险识别介绍风险识别的目的是决定可能发生什么会造成潜在损失,并深入了解损失可能是如何、在何地、为什么发生。8.2.1的下列

33、子条款所描述的步骤将会为风险估算活动收集输入数据。注:以下条款中描述的活动可能会根据所用方法的不同而按不同顺序进行。8.2.1.2 资产识别输入:要进行风险评估的范围和边界,包括责任人、地点、功能等要素的清单。动作:宜识别已确定范围内的资产 对应G B/T2 2 0 8 02 0 0 8中4.2.1d)1)。实施指南:资产是对组织有价值的任何东西,因此需要保护。资产识别时宜牢记,信息系统包含的不仅仅是硬件和软件。资产识别宜在能为风险评估提供足够信息的适当详细程度上展开。资产识别的详细程度将影响在风险评估中所收集信息的总量。这种程度可在风险评估的进一步迭代中不断细化。宜识别每项资产的责任人,以提供资产的责任和可核查性。资产责任人可能不具有资产的财产所有权,但适当时对其生产、开发、维护、使用和安全负有责任。资产责任人通常是最适合决定资产的组织价值的人选(见8.2.2.2中的资产估价)。评审边界