企业网络与信息安全风险评估规范

企业网络与信息安全风险评估规范

目录

第一章总则 (3)

第二章风险评估原则 (5)

第三章风险评估模型 (5)

第四章风险评估策略 (9)

第五章风险评估过程框架 (11)

第六章风险评估手段 (15)

第七章文档要求 (16)

第八章项目管理 (17)

第一章总则

第一条网络与信息安全风险评估是网络与信息安全管理的基础性工作，是实现网络与信息系统安全水平持续改进的重要手段。为了指导、规范和促进各单位开展网络与信息安全风险评估工作，加强网络与信息安全的全过程动态管理，进一步提高网络与信息安全保障水平,特制定本规范。

第二条网络与信息安全风险评估是对企业现有的网络、信息系统、业务流程、安全策略等进行风险分析，并根据风险分析结论提出安全建议的过程。

第三条通过对网络与信息系统（以下简称信息系统）进行安全评估，至少应该达到以下目标：

（一）掌握信息系统的安全现状和面临的安全风险；

（二）明确信息系统面对的主要风险以及这些风险产生的原因；

（三）为信息系统的建设、运行、维护、使用和改进提供安全性建议。

（四）改进与完善企业现有安全策略，实施有效的信息系统风险管理，加强重要信息系统的安全保障。

第四条本规范适用于国家电网公司系统各单位，用于指导各单位信息安全评估项目的开展和实施。

第五条名词解释

使命：一个组织通过信息化实现的工作任务。

信息资产：在信息化建设过程中积累起来的信息系统、信息数据、生产或服务能力、人员能力和应得的信誉。

价值：指信息资产对信息系统的重要程度，以及对信息系统为完成组织使命的重要程度。

威胁：信息资产可能受到的来自内部和来自外部的安全侵害。

脆弱性：信息资产及其防护措施在安全方面的不足，通常也称为漏洞。

风险：是指人为或自然的威胁利用信息系统存在的脆弱性，从而导致信息安全事件发生的可能性及其影响。

残余风险：采取了安全防护措施，提高了防护能力后，仍然可能存在的风险。

安全措施：为对付威胁，减少脆弱点，保护资产，限制意外事件的影响，检测和响应意外事件，促进灾难恢复和打击信息犯罪而采取的各种实践、规程和机制统称为安全措施。

安全防护需求：指为保证信息系统能够正常使用，在信息安全防护措施方面的要求。

第二章风险评估原则

第六条完整性原则

根据“木桶原理”，为了保证评估取得预期结果，应当综合评估信息系统对象本身及其相关的安全措施、人员、管理等方面，技术层面的评估与管理层面的评估相结合，全面反映信息系统安全状态，确保评估范围的完整、评估内容的全面和评估流程的完整。

第七条标准化原则

认真遵循有关国际和国内标准制定评估要求、编写评估方案、安排评估流程，严格按照预先定义的实施方案开展安全评估和进行评估工作的管理，确保评估定义过程、操作流程和操作方法的规范性。

第八条最小影响原则

信息安全风险评估的部分工作内容可能会对信息系统的运行带来负面影响。必须设计合理与灵活的风险评估实施方案，对可能造成这些影响的工作内容进行有效管理，把评估对信息系统与业务可能造成的影响降低到最低限度。

第三章风险评估模型

第九条风险关系模型

风险关系模型以风险为中心描述了信息资产所面临的风险、漏洞、威胁及其相应的复杂关系，用以指导风险评估和风险分析的实施。模型中各要素及其关系如图一所示：

图一风险关系模型

图一对风险要素间的关系进行了动态的描述，反映了资产所面临的安全风险与其它各个要素之间相互作用的内在联系，相互间的主要关系如下：

（一）资产具有价值，同时资产存在着漏洞；

（二）漏洞使资产暴露在威胁面前，漏洞越大资产暴露的可能性就越大；

（三）威胁利用信息系统存在的漏洞（如：物理环境、网络服务、主机系统、应用系统、安全相关人员、安全策略等）对信息系统进行渗透和攻击；

（四）资产的暴露（例如系统高级管理人员由于不小心而导致重要机密信息的泄露）使得威胁有可能对资产的价值产生影响（包括直接和和间接的影响）；

（五）风险就是威胁利用脆弱点使资产暴露而对资产价值产生的影响的可能性，风险的大小由资产价值的重要性和敏感性所决定；

（六）对信息系统安全风险的分析，导致信息系统的安全需求的提出；

（七）根据不同的安全需求选择适当的安全措施，制定合理的信息安全解决方案对风险进行控制，进而降低安全风险，防范威胁。

第十条风险要素属性

基本风险要素的属性决定了各要素对风险产生作用情况。对各风险要素的属性进行分析，将可明确风险是如何由这些要素来决定的。

（一）威胁对信息系统有潜在的破坏，作为潜在的威胁，其发生具有可能性。如果一个威胁发生了，它会以某种方式导致发生有害事件，并产生不利影响，因此威胁具有影响。

（二）漏洞越严重，就越容易被威胁利用，进而增加资

产面临的风险，因此漏洞具有严重性（被利用的难易程度）。

（三）信息资产具有价值，这种价值体现在当信息资产泄漏、被破坏或不可使用时，会造成资产的拥有者利益和信誉上的损失。因此，资产通过价值间接的具有机密性、完整性和可用性三个属性。

（四）风险是未发生并且有可能发生的事物，因此风险具有可能性。风险一旦发生将对资产造成影响，因此风险后果具有影响性。

（五）根据对风险要素间动态关系的分析可以看到：风险是从威胁发起的，威胁发生的可能性越大，资产面临的风险越大；威胁总要利用漏洞来对资产价值产生影响，漏洞越严重风险越大；另外，在威胁可能性和漏洞严重程度一定的情况下，资产的价值越高，其面临的风险也越大。

因此，风险的可能性是由资产面临的威胁的可能性和资产存在的漏洞的严重性决定的，而风险产生的影响是由资产的价值和威胁的影响决定的。

第十一条风险的计算

根据风险关系和风险要素属性，信息资产风险的可能性是面临的威胁的可能性和资产存在的薄弱性的函数，而风险的后果是资产的价值和威胁的影响的函数。而量化的风险值