信息安全風險評估/管理相關國家標準介紹

謝宗曉（南開大學商學院）劉立科（中國重汽集團濟南橡塑件有限公司）

?

信息安全風險評估/管理相關國家標準介紹

謝宗曉（南開大學商學院）
劉立科（中國重汽集團濟南橡塑件有限公司）

摘要：本文介紹了信息安全風險評估/管理的相關標準，其中包括：（1）GB/T 20984—2007《信息安全技術 信息安全風險評估規范》；（2）GB/Z 24364—2009《信息安全技術 信息安全風險管理指南》；（3）GB/T 31509—2015《信息安全技術信息安全風險評估實施指南》；（4）GB/T 31722—2015 / ISO/IEC 27005：2008《信息安全技術信息安全風險管理》；（5）《信息安全技術信息安全風險處理實施指南》（征求意見稿）。

關鍵詞：信息安全風險評估風險管理風險應對

謝宗曉　博士

“十二五”國家重點圖書出版規劃項目《信息安全管理體系叢書》執行主編。自2003年起，從事信息安全風險評估與信息安全管理體系的咨詢與培訓工作。目前，已發表論文42篇，出版專著12本。

信息安全管理系列之十六

無論是信息安全管理體系（ISMS），還是信息系統安全等級保護，幾乎所有的信息安全管理最佳實踐都以風險管理為基礎。信息安全風險評估/管理實踐往往依據一系列的標準，下文中對與信息安全風險評估/管理相關的國家標準做了大致的介紹。

謝宗曉（特約編輯）

表1　信息安全風險評估/管理相關國家標準

一般而言，風險應對（風險處理）不會作為單獨的標準出現，而是作為風險管理標準的一部分。但是國家標準在實施指南的層次將信息安全風險管理分成了兩個標準，分別為GB/T 31509—2015《信息安全技術信息安全風險評估實施指南》和《信息安全技術 信息安全風險處理實施指南》（征求意見稿）。

圖1　風險分析原理圖

當然，2012年9月發布的NIST SP 800-30 Rev1，新標題為：Guide for Conducting Risk Assessments（風險評估實施指南）。對比2002年版本標題：Risk Management Guide for Information Technology Systems （IT系統風險管理指南），也存在這種趨勢。

1　GB/T 20984—2007

GB/T 20984—2007是信息安全領域應用最廣泛的國家標準之一，在風險分析原理的基礎上，給出了風險評估的實施流程。其中風險分析原理如圖1所示。

在圖1的風險分析原理中，標識A，在所有的標準中基本都保持了一致，即風險是可能性和影響的函數。脆弱性的嚴重程度同時影響安全事件可能性和損失的大小，標識B強調損壞的程度，標識C則強調利用的難易程度，當然這兩者都可以稱為嚴重程度。在GB/T 20984—2007的“表10 脆弱性嚴重程度賦值表”中，脆弱性的難易程度沒有損壞程度描述的充分。在《Microsoft安全風險管理指南》4））《Microsoft安全風險管理指南》，發布于2004年，全文下載在https://technet.microsoft.com/。中有更細致的計算方式。

與ISO/IEC 27005：2008相似，在GB/T 20984—2007的5.4.1中也強調了“威脅總是要利用資產的脆弱性才可造成危害”，但標準中對威脅與脆弱性的賦值都是單獨進行的。

GB/T 20984—2007的風險評估的實施步驟與NIST SP 800-30（2002年第1版）基本保持了一致，GB/T 20984—2007也描述了信息系統生命周期各階段的風險評估。

2　GB/Z 24364—2009

GB/Z 24364—2009并沒有專注于描述流程，而是更關注文檔，因此對于信息安全風險管理過程文檔的描述非常清晰，本文中不再做詳細的介紹5））信息安全風險管理的國家標準正在升級，在《國家標準〈信息安全風險評估實施指南〉（送審稿）編制說明》（正式發布后就是GB/T 31509—2015）的2.2中提到“結合國家信息中心正在編寫的《信息安全風險管理規范》標準草案”。在后續的信息安全管理系列中，我們會陸續介紹。。

3　GB/T 31509—2015

GB/T 31509—2015是GB/T 20984—2007的操作性指導標準，從風險評估工作開展的組織、管理、流程、文檔、審核等幾個方面進行了細化。

GB/T 31509—2015沿用了GB/T 20984—2007 的風險評估流程，同時對GB/T 20984—2007中的“風險評估的工作形式”和“信息系統生命周期內的風險評估”的內容重新進行了說明，但篇幅大大縮減。

一個較為顯著的變化是，GB/T 31509—2015引用了GB/T 22239—2008《信息安全技術 信息系統安全等級保護基本要求》，在脆弱性識別的過程中，增加了“安全技術脆弱性核查”和“安全管理脆弱性核查”，在附錄中還給出了詳細的核查列表。

GB/T 31509—2015很有指導意義。

4　GB/T 31722—2015/ ISO/IEC 27005：2008

ISO/IEC 27005是信息安全管理體系（Information Security Management System，ISMS）標準族的重要標準之一，可以滿足ISO/IEC 27005中對風險管理的要求。

ISO/IEC 27005最新版本為2011版（第2版）。由于ISO/IEC 27000標準族成員變動頻繁，導致ISO/ IEC 27005：2008存在一個問題，在討論的開始，首先就對風險管理的過程與PDCA進行了映射，但是新版的ISO/IEC 27001：2013卻已經棄用了PDCA 模型。

ISO/IEC 27005：2008有兩個顯著的特點：

（1）將威脅和脆弱性首次以成對的形式出現在附錄中。當然，更早出現在其前身標準BS7799-36））BS 7799-3：2006Guidelines for information security risk management，在2008年成為國際標準之后，英國國家標準的標識為：BS ISO/IEC 27005：2008。。由于威脅和脆弱性單獨都不足以形成風險，因此對一個具體的組織而言，威脅脆弱性對的性質才是關注的重點，而單一的威脅或脆弱性列表更適合做成字典表供選擇。

（2）開始考慮情境（context）7））Context詞匯的原意為“上下文”，在研究領域經常翻譯為情境，實際上在此處就是上下文的意思。的建立。情境包括了一系列的內容，例如，基本準則、范圍和邊界以及信息安全風險管理組織等，實際上就是包括了主要的準備活動。在ISO/IEC 27001的2013版本中，也用了這個詞匯，在2005版中則沒有。

GB/T 31722—2015 / ISO/IEC 27005：2008中信息安全風險管理過程由語境建立（第7章）、風險評估（第8章）、風險處置（第9章）、風險接受（第10章）、風險溝通（第11章）和風險監視與評審（第12章）組成，對每一個過程的描述非常清晰，依次劃分為：輸入、動作、實施指南和輸出。

5　信息安全風險處理8））由于英文詞匯是risk treatment，可能引起歧義。在《意見匯總處理表》中有一條意見為 “風險處理的定義還應該進一步斟酌”，因此其中的相關詞匯可能會修改。實施指南

GB/T 20984—2007、GB/Z 24364—2009、GB/T 31509—2015和《信息安全技術信息安全風險處理實施指南》這4個國家標準的第一起草單位都是國家信息中心。

《信息安全技術信息安全風險處理實施指南》（征求意見稿）包括了三個階段的工作，分別為：風險處理準備階段、風險處理實施階段和風險處理效果評價階段。

第一個步驟是風險處理準備，確定風險處理的范圍，明確風險處理的依據，組建風險處理團隊，設定風險處理的目標和可接受準則，選擇風險處理方式，明確風險處理資源，形成風險處理計劃，并得到管理層對風險處理計劃的批準。

第二個步驟是風險處理實施，準備風險處理備選措施，進行成本效益分析和殘余風險分析，對處理措施進行風險分析并制定應急計劃，編制風險處理方案，待處理方案獲得批準后，要對風險處理措施進行測試，測試完成后，正式實施。在處理措施的實施過程中，要加強監管與審核。

第三個步驟是風險處理效果評價，制定評價原則和方案，開展評價實施工作，對沒有達到處理目的的風險，要進行持續改進。風險處理工作是持續性的活動，當受保護系統的政策環境、業務目標、安全目標和特性發生變化時，需要再次進入上述步驟。

綜上所述，信息安全風險評估/管理相關國家標準的概述如表2所示。

表2　信息安全風險評估/管理相關國家標準的概述

參考文獻

［1］趙戰生，謝宗曉.信息安全風險評估——概念、方法和實踐（第2版）［M］.北京：中國標準出版社，2016.

［2］謝宗曉.信息安全風險管理相關詞匯定義與解析［J］.中國標準導報，2016（4）.

Introduction of Standards Related to Risk Assessment / Management

Xie Zongxiao （ Business School， Nankai University ）
Liu Like （ Sinotruk Jinan Rubber & Plastic Parts Co.， Ltd.）

Abstract:In this paper， we introduce standards related to risk assessment / management， including: （1）GB/T 20984—2007 Information security technology—Risk assessment specification for information security； （2） GB/Z 24364—2009 Information security technology—Guidelines for information security risk management； （3） GB/T 31509—2015 Information security technology—Guide of implementation for information security risk assessment； （4） GB/T 31722—2015 / ISO/IEC 27005: 2008Information technology—Security techniques—Information security risk management；（5） Information security technology—Guide of implementation for information security risk treatment.

Key words:information security， risk assessment， risk management， risk treatmentbook=31,ebook=33截至2015年12月，我國已經發布的信息安全風險評估/管理的相關國家標準如表1所示。