信息安全风险评估

基于GB/T 20984-2022 《信息安全技术 信息安全风险评估规范》的学习

1. 什么是信息安全风险评估？

　　风险评估是指从风险管理角度，依据国家有关信息安全技术标准和准则，运用科学的方法和手段，对信息系统及处理、传输和存储信息的保密性、完整性及可用性等安全属性进行全面科学地分析;对网络与信息系统所面临的威胁及存在的脆弱性进行系统的评价;对安全事件一旦发生可能造成的危害程度进行评估，并提出有针对性地抵御威胁的防护对策和整改措施。

2. 风险评估要素

 　　风险评估的基本要素包括资产、威胁、脆弱性和安全措施，并基于这些要素进行风险评估

　　

 

 

 　　　　　　　　　　图1  风险要素及其关系

  风险要素的核心是资产，而资产存在脆弱性；安全措施的实施通过降低资产脆弱性被利用的难易程度来抵御外部威胁，实现对资产的保护；威胁通过利用资产存在的脆弱性导致风险；风险转化成安全事件后，会对资产的运行状态产生影响。

  风险分析时应综合考虑资产、威胁、脆弱性和安全措施等基本因素。

3. 风险分析原理

• 根据威胁的来源、种类、动机等,并结合威胁相关安全事件、日志等历史数据统计，确定威胁的能力和频率;
• 根据脆弱性访问路径、触发要求等,以及已实施的安全措施及其有效性确定脆弱性被利用难易程度;
• 确定脆弱性被威胁利用导致安全事件发生后对资产所造成的影响程度;
• 根据威胁的能力和频率,结合脆弱性被利用难易程度,确定安全事件发生的可能性;
• 根据资产在发展规划中所处的地位和资产的属性，确定资产价值;
• 根据影响程度和资产价值,确定安全事件发生后对评估对象造成的损失;
• 根据安全事件发生的可能性以及安全事件造成的损失,确定评估对象的风险值;
• 依据风险评价准则,确定风险等级,用于风险决策。

4. 风险评估流程

  

风险评估主要有四个阶段；评估准备、风险识别、风险分析、风险评价；沟通与协商和评估过程文档管理贯穿于整个风险评估过程。风险评估工作是持续性的活动,当评估对象的政策环境、外部威胁环境、业务目标、安全目标等发生变化时,应重新开展风险评估。

1）评估准备阶段

• 确定风险评估目标
• 确定评估的对象、范围和边界
• 组建团队，选取评估工具
• 前期调研
• 确定评估依据
• 建立评价准则
• 制定评估方案
• 获得最高管理者支持

2）风险识别阶段

• 资产识别
• 威胁识别
• 已有安全措施识别
• 脆弱性识别

3）风险分析阶段

  依据识别的结果计算得到风险值

4）风险评价

  依据风险评价准则确定风险等级