电子信息安全风险评估标准

中华人民共和国国家标准 ICS 35.040 L 80GB/T 20984—2007信息安全技术信息安全风险评估规范Information security technology —Risk assessment specification for information security2007-06-14发布 2007-11-01实施GB/T 20984—2007目次前言 (II)引言 (III)1范围 (1)2规范性引用文件 (1)3术语和定义 (1)4风险评估框架及流程 (3)4.1风险要素关系 (3)4.2风险分析原理 (4)4.3实施流程 (4)5风险评估实施 (5)5.1风险评估准备 (5)5.2资产识别 (7)5.3威胁识别 (9)5.4脆弱性识别 (11)5.5已有安全措施确认 (12)5.6风险分析 (12)5.7风险评估文档记录 (14)6信息系统生命周期各阶段的风险评估 (15)6.1信息系统生命周期概述 (15)6.2规划阶段的风险评估 (15)6.3设计阶段的风险评估 (15)6.4实施阶段的风险评估 (16)6.5运行维护阶段的风险评估 (16)6.6废弃阶段的风险评估 (17)7风险评估的工作形式 (17)7.1概述 (17)7.2自评估 (17)7.3检查评估 (17)附录A （资料性附录）风险的计算方法 (19)A.1 使用矩阵法计算风险 (19)A.2 使用相乘法计算风险 (22)附录B （资料性附录）风险评估的工具 (26)B.1 风险评估与管理工具 (26)B.2 系统基础平台风险评估工具 (27)B.3 风险评估辅助工具 (27)参考文献 (28)IGB/T 20984—2007前言（略）IIGB/T 20984—2007引言随着政府部门、金融机构、企事业单位、商业组织等对信息系统依赖程度的日益增强，信息安全问题受到普遍关注。

运用风险评估去识别安全风险，解决信息安全问题得到了广泛的认识和应用。

信息安全风险评估级别
信息安全风险评估的级别通常根据其对信息系统和业务的影响程度来进行划分。

一般情况下，可以分为以下几个级别：
1. 低级别：对信息系统和业务影响较小的风险，可能会导致一些轻微的信息泄露或系统故障，但对整体运营影响较小，可以通过一些简单的措施进行控制和处理。

2. 中级别：对信息系统和业务影响较为显著的风险，可能会导致一定程度的信息泄露、数据损坏或系统故障，对业务运营造成一定的影响，需要采取较为细致的控制和处理措施。

3. 高级别：对信息系统和业务影响较为严重的风险，可能会导致严重的信息泄露、数据损坏或系统故障，对业务运营造成重大影响甚至瘫痪，需要采取高度严密的控制和应急处理措施。

4. 致命级别：对信息系统和业务影响极其严重的风险，可能会导致灾难性的信息泄露、数据损坏或系统崩溃，对业务运营造成毁灭性的影响，需要采取极端严格的控制和紧急处理措施。

这些级别只是一种常见的划分方式，具体情况还需要根据实际业务和信息系统的特点来确定。

信息安全风险评估规范
信息安全风险评估是指对组织的信息系统进行系统性评估，以识别并评估可能的信息安全威胁和漏洞，进而制定相应的风险管理措施。

信息安全风险评估规范是指在进行信息安全风险评估时应遵循的规范和标准。

信息安全风险评估规范主要包括以下内容：
1. 评估范围的确定：确定评估的对象、评估的目标和评估的范围。

评估对象可以是整个系统或者特定的子系统，评估目标可以是发现系统中的漏洞和威胁，评估范围可以是整个系统或特定的组件。

2. 风险辨识：对系统中的潜在威胁进行辨识和分类，包括人为因素、物理因素、技术因素等。

通过对系统进行全面的辨识可以识别出可能的风险。

3. 风险评估：对辨识出的风险进行评估，包括风险的概率和影响程度等。

通过评估可以确定哪些风险最为重要和紧迫，以便制定相应的风险管理措施。

4. 风险处理：对评估出的风险进行处理和管理，包括风险的防范、控制和应对等。

通过制定相应的措施和方案来降低风险，并及时应对风险事件的发生。

5. 风险监控：对已处理的风险进行监控和跟踪，确保风险管理措施的有效性和持续性。

同时也应定期对系统进行再评估，以
识别新的风险并及时进行处理。

6. 报告和记录：对风险评估的结果进行报告和记录，包括评估的方法、结果和相应的措施等。

通过报告和记录可以提供给相关部门和人员作为参考和依据。

信息安全风险评估规范的制定可以帮助组织全面了解信息系统的安全状况，及时发现和处理潜在的安全风险，提高信息系统的安全性。

同时也可以为组织提供重要的参考和依据，指导信息安全管理和决策。

因此，遵循信息安全风险评估规范是保障信息系统安全的重要措施之一。

信息安全风险评估三级
（原创版）
目录
一、信息安全风险评估概述
二、信息安全风险评估的三个级别
三、一级信息安全风险评估
四、二级信息安全风险评估
五、三级信息安全风险评估
六、总结
正文
信息安全风险评估是信息安全管理的重要组成部分，通过对信息系统的脆弱性、威胁和风险进行评估，以确定信息系统的安全性。

信息安全风险评估分为三个级别，分别为一级、二级和三级。

一级信息安全风险评估主要针对基本的信息系统，评估范围相对较小，主要关注系统的可用性和完整性。

这一级别的评估主要通过问卷调查、检查表和现场考察等方式进行，以了解信息系统的基本情况，发现潜在的安全风险。

二级信息安全风险评估针对的是较为复杂的信息系统，评估范围相对较广，关注系统的可用性、完整性和保密性。

这一级别的评估需要对信息系统的各个方面进行深入分析，以识别系统的弱点和潜在威胁，为制定安全策略提供依据。

三级信息安全风险评估则是针对关键信息系统和涉及国家安全的信
息系统进行的评估。

这一级别的评估具有更高的要求和标准，需要对信息系统的各个方面进行全面、深入的分析，以确保信息系统的安全性。

三级评估涉及的方面包括系统的可用性、完整性、保密性和抗干扰能力等。

总之，信息安全风险评估是信息安全管理的重要手段，通过对信息系统的脆弱性、威胁和风险进行评估，以确保信息系统的安全性。

信息安全风险评估分为三个级别，分别为一级、二级和三级，不同级别的评估具有不同的要求和目标。

信息安全风险评估规定
信息安全风险评估是指对组织的信息系统进行全面的评估，分析其存在的安全风险，并为其安全风险制定相应的管理措施和对策的过程。

为确保信息系统的安全性，许多国家和组织都制定了相应的信息安全风险评估规定。

下面是一些常见的信息安全风险评估规定：
1. ISO/IEC 27005：这是国际标准化组织和国际电工委员会联合制定的信息安全风险评估标准。

该标准指导组织在评估信息安全风险方面的方法、原则和过程。

2. NIST SP 800-30：这是美国国家标准与技术研究院（NIST）制定的信息安全风险评估指南。

该指南提供了一种结构化的方法，帮助组织评估其信息系统的安全风险。

3. 中国GB/T 20986-2007：这是中国国家标准化管理委员会制定的信息安全风险评估标准。

该标准规定了信息安全风险评估的任务、目的、方法和报告。

4. PCI DSS：这是为支付卡行业制定的一组数据安全标准，规定了组织必须采取的安全措施，以保护持卡人的信息安全。

PCI DSS要求组织进行定期的安全风险评估。

5. HIPAA：这是美国健康保险可移植性与责任法案规定的信息安全和隐私要求。

HIPAA要求医疗保健机构进行安全风险评估，并采取相应的措施保护患者的健康信息。

这些规定和标准提供了评估信息安全风险的方法、步骤和要求，帮助组织有效地评估和管理其信息系统的安全风险。

根据组织的具体需求和行业要求，可以选择适合的评估方法和标准。

电子信息系统的风险评估与管理在当今数字化的时代，电子信息系统已经成为了各个组织和企业运营的核心基础设施。

从企业的业务流程管理到政府的公共服务提供，从金融机构的资金交易到个人的日常通信娱乐，电子信息系统无处不在。

然而，随着电子信息系统的日益复杂和广泛应用，其所面临的风险也日益多样化和严峻化。

因此，对电子信息系统进行有效的风险评估与管理，已经成为了保障组织和企业正常运营、保护信息资产安全、维护社会稳定的重要任务。

一、电子信息系统风险的来源与类型电子信息系统的风险来源广泛，主要包括以下几个方面：1、技术因素技术的快速发展和更新换代，使得电子信息系统面临着技术漏洞、软件缺陷、硬件故障等风险。

例如，操作系统的安全漏洞可能被黑客利用，从而导致系统被入侵；软件的错误编码可能导致数据丢失或系统崩溃。

2、人为因素人为的疏忽、错误操作、恶意行为等是电子信息系统风险的重要来源。

员工可能因缺乏安全意识而泄露重要的密码或敏感信息；内部人员可能出于私利而故意破坏系统或窃取数据；外部攻击者可能通过社会工程学手段获取系统的访问权限。

3、环境因素自然环境的变化，如火灾、水灾、地震等灾害，以及电力供应中断、电磁干扰等，都可能对电子信息系统造成损害。

4、管理因素不完善的管理制度、不合理的安全策略、缺乏有效的监督和审计机制等管理方面的问题，也会增加电子信息系统的风险。

根据风险的性质和影响，电子信息系统的风险可以分为以下几种类型：1、信息安全风险包括数据泄露、篡改、窃取，网络攻击、病毒感染等，可能导致组织的商业机密泄露、客户信息被盗用、业务中断等严重后果。

2、系统故障风险由于硬件故障、软件错误、系统配置不当等原因导致系统无法正常运行，影响业务的连续性。

3、合规风险组织在使用电子信息系统的过程中，如果违反了相关的法律法规和行业规范，可能面临法律诉讼和监管处罚。

4、声誉风险电子信息系统的安全事故可能会损害组织的声誉，导致客户流失、合作伙伴的信任度下降。

信息安全风险评估规范信息安全风险评估是指对信息系统可能面临的各种威胁和风险进行评估、分析和判断，并提出相应的控制措施和风险管理策略的过程。

为了确保评估结果的准确性和规范性，需要按照一定的规范进行评估工作。

本文将介绍信息安全风险评估的一般规范。

一、目的和范围信息安全风险评估的目的是确定信息系统可能面临的各种威胁和风险，并提供科学的决策依据，指导安全控制措施的制定和实施。

评估的范围应包括信息系统的硬件、软件、网络设备、通信设备、人员和相关的物理环境等方面。

二、评估方法评估方法应采用科学合理的方法，包括但不限于：1. 目标与需求分析：明确评估的目标、范围和需求，确保评估活动与业务需求相一致。

2. 风险识别和辨识：梳理信息系统中的各种威胁和风险，建立识别风险的方法和标准。

3. 风险分析和评估：对已识别的风险进行定性和定量分析，评估风险的可能性和影响程度，并确定其优先级。

三、评估内容评估内容包括但不限于：1. 信息系统的功能和性能：评估信息系统的功能是否满足用户需求，性能是否稳定。

2. 数据的完整性和可用性：评估数据的完整性和可用性，识别数据丢失、篡改和破坏的风险。

3. 系统的机密性和隐私性：评估系统的机密性和隐私性，识别数据泄露和未授权访问的风险。

4. 系统的可靠性和可恢复性：评估系统的可靠性和可恢复性，识别系统故障和灾难恢复的风险。

5. 人员的安全意识和行为：评估人员的安全意识和行为，识别人为因素导致的风险。

四、评估结果评估结果应包括风险的等级和推荐的控制措施。

风险的等级可以采用定性、定量或者符号化的方式表示，以便于管理者做出决策。

推荐的控制措施应根据风险的等级和实际情况来确定，可以包括技术控制、人员控制和制度控制等方面。

五、风险管理策略根据评估结果，制定相应的风险管理策略，包括但不限于：1. 风险避免：通过合理的规划和设计，尽量避免风险的发生。

2. 风险转移：通过购买保险或签订合同等方式，将风险转移给第三方。