中国石油天然气集团公司企业标准
Q/SY 1343—2010
信息安全风险评估实施指南
Guidelines for information security risk assessment
201008一01实施
2010—05-25发布
中国石油天然气集团公司 发布 目 次
前言
范围规范性引用文件术语和定义风险评估概述
1 2 3 4
4. 1 风险评估框架 4. 2 风险评估目的 4.3 风险评估原则 4. 4 风险评估方式 4.5 风险评估时机 4.6 风险评估流程 5风险评估实施 5.1计划准备阶段 5.2评估阶段 5.3分析阶段附录A（资料性附录) 资产信息登记表模板附录B (资料性附录) 评估所需收集文档· 附录C (资料性附录) 风险评估工具参考文献
11 16 17
20 22 前言
本标准是中国石油天然气集团公司信息技术专业安全系列企业标准之一，信息技术专业安全系列企业标准共6项标准，另外5项标准是：
-Q/SY1341—2010《信息系统安全管理规范》； -Q/SY1342—2010《终端计算机安全管理规范》； Q/SY1344—2010《信息系统密码安全管理规范》； -Q/SY1345一2010《计算机病毒与网络入侵应急响应管理规范》； -Q/SY1346—2010《信息系统用户管理规范》。
本标准的附录 A、附录 B和附录 C为资料性附录。 本标准由中国石油天然气集团公司信息技术专业标准化技术委员会提出并归口。 本标准起草单位：中国石油勘探开发研究院。 本标准主要起草人：靖小伟、杨志贤、冯梅、王春伟、高峰、王峰、滕征岑、刘建兵、王喆、李
鹏、王牧野、董庆南、苑欣、王荣禄、张鹏、于普漪、秦侃、王振欣。
Ⅱ 信息安全风险评估实施指南
1范围
本标准给出了风险评估（信息安全风险评估）的基本概念、框架、目的、原则、方式和时机，规定了风险评估的过程和方法。
本标准适用于中国石油天然气集团公司（以下简称“中国石油”）总部及所属各企事业单位对其信息资产（包括应用系统、网络架构、重要服务器与终端计算机等）进行的风险评估实施和管理。 2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。
GB/T20984—2007信息安全技术信息安全风险评估规范 3术语和定义
下列术语和定义适用于本标准。
3.1
资产asset 对组织具有价值的信息或资源，是安全策略保护的对象。 [GB/T20984—2007，定义3.1]
3.2
资产价值assetvalue 资产的重要程度或敏感程度的表征。资产价值是资产的属性，也是进行资产识别的主要内容。 [GB/T20984—2007，定义3.2]
3.3
威胁threat 可能导致对系统或组织危害的不希望事故潜在起因。 [GB/T20984—2007，定义3.17]
3.4
脆弱性vulnerability 可能被威胁所利用的资产或若干资产的薄弱环节。 ［GB/T20984—2007，定义3.18]
3.5
信息安全风险information securityrisk 人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造
成的影响。
[GB/T20984—2007，定义3.6]
3.6
（信息安全）风险评估 (information security) risk assessment 依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件
的可能性，并结合安全事件所涉及的资产价值判断安全事件一旦发生对组织造成的影响。
[GB/T20984—2007，定义3.7]
3.7
残余风险residual risk 采取了安全措施后，信息系统仍然可能存在的风险。 [GB/T20984—2007，定义3.12]
3.8
保密性confidentiality 数据所具有的特性，即表示数据所达到的未提供或未泄露给非授权的个人、过程或其他实体的
程度。
[GB/T20984—2007，定义3.5]］
3.9
完整性integrity 保证信息及信息系统不会被非授权更改或破坏的特性，包括数据完整性和系统完整性。 ［GB/T20984—2007，定义3.10]
3.10
可用性availability 数据或资源的特性，被授权实体按要求能访问和使用数据或资源。 ［GB/T20984—2007，定义3.3]］
3.11
业务战略businessstrategy 组织为实现其发展目标而制定的一组规则或要求。 [GB/T20984—2007，定义3.4]
3.12
安全事件securityincident 系统、服务或网络的一种可识别状态的发生，它可能是对信息安全策略的违反或防护措施的实
效，或未预知的不安全状况。
[GB/T20984—2007，定义3.14] 3.13
安全需求securityrequirement 为保证组织业务战略的正常运作而在安全措施方面提出的要求。 [GB/T20984—2007，定义3.16]
3.14
安全措施securitymeasure 保护资产、抵御威胁、减少脆弱性、降低安全事件的影响，以及打击信息犯罪而实施的各种实
践、规程和机制。
[GB/T20984——2007，定义3.15] 4风险评估概述 4.1风险评估框架 4.1.1风险要素 按GB/T20984—2007中4.1的规定执行。 4.1.2风险分析
图1给出了风险分析原理。
威胁识别
威胁出现的频率
安全事件的可能性
风险值
脆弱性识别
脆弱性的严重程度
安全事件的损失
资产价值
资产识别
图1风险分析原理图
风险分析中应涉及资产、威胁、脆弱性三个基本要素。每个要素有各自的属性，资产的属性是资产价值；威胁的属性是威胁主体、影响对象、出现频率、动机等；脆弱性的属性是资产弱点的严重程度。
风险分析的主要内容按GB/T20984一2007中4.2的规定执行。 4.2风险评估目的 4.2.1发现现有基础信息网络和重要信息系统的安全问题和隐患，提出针对性改进措施。 4.2.2识别在建系统和将建系统在生命周期各个阶段的安全风险。 4.2.3分析现有信息网络安全相关的组织管理机构、管理制度和管理流程的缺陷与不足。 4.2.4“评价已有信息安全建设的适当性、合规性。 4.3风险评估原则 4.3.1信息系统整体原则
评估应从实际需求出发，不应局限于网络、主机等单个的安全层面，应能够从信息系统整体角度进行评估。 4.3.2动态性原则
评估是动态的、阶段性重复的，并非一次评估即可解决所有问题。应确认本次评估所能够达到的目标，并依据评估的动态特性考虑再评估的时机。 4.3.3适当性原则
评估应选择恰当的评估对象、评估范围、评估时机。 4.3.4规范化原则
评估过程和成果文档，应具有规范性，便于项目的跟踪和控制。 4.3.5可控性原则
评估过程和所使用的工具应具有可控性。评估所采用的工具应经过实践检验，或按要求和网络特点定制。 4.3.6最小影响原则
评估工作应精心筹划，不应对网络和信息系统的运行及业务的正常运作产生显著影响。 4.3.7保密性原则
参与评估的人员应签署保密协议，不应将评估中的数据用于有损中国石油利益的活动。 4.4风险评估方式 4.4.1自评估 自评估是信息系统拥有者依靠自身力量，对自有的信息系统进行的风险评估活动。 自评估应结合系统特定的安全要求进行。应按第5章的规定定期进行安全风险自评估周期性进行的自评估宜在评估流程上进行简化，重点考察自上次评估后系统发生变化引人的新威
胁，以及对系统脆弱性的完整识别，以便于两次评估结果的对比。 4.4.2检查评估
检查评估是由主管单位发起，对下级单位的安全风险管理工作进行检查而进行的评估活动，应定期、抽样进行。
检查评估应依据本标准的要求，实施完整的风险评估过程或对关键环节、重点内容实施评估 4.4.3委托评估
委托评估指信息系统使用单位委托具有风险评估能力和相关资质的专业评估机构实施的评估活动。
在委托评估中，接受委托的评估机构应拥有风险评估的专业人才，评估方应与系统承建者保持独立，不能为同一实体，评估方在评估中应向系统承建者进行咨询。对于复杂的评估，应注重被评估单位的业务和管理人员的全程参与。 4.5风险评估时机 4.5.1规划阶段
按GB/T20984—2007中6.2的规定执行。 4.5.2-设计阶段
按GB/T20984— -2007中6.3的规定执行 4.5.3实施阶段
按GB/T20984—2007中6.4的规定执行。 4.5.4运行维护阶段
按GB/T20984—2007中6:5的规定执行。 4.5.5废弃阶段
按GB/T20984—2007中6.6的规定执行。 4.6风险评估流程
图2给出了风险评估各阶段内容和步骤。 风险评估流程的详细说明见第5章。
5风险评估实施 5.1计划准备阶段 5.1.1制定项目计划 5.1.1.1确定评估目标、范围和对象
企业应有一个明确的评估目标，以指导评估范围的确定。合理确定并严格控制项目范围，是风险评估工作的第一步。评估计划、参与人员、评估成本预算等应在范围确定后才能进行。评估范围的确定应进行仔细研究，过大的范围可能导致评估工作量的扩大，对时间、成本等要求均会扩大，可能无法达到预期的效果。过小的评估范围则无法反映信息系统风险的实际情况。评估范围一旦确定，不应轻易变更，范围的变更将直接影响项目的进度计划、参与人员等，可能导致项目进度的变更，甚至影响项目的效果。
按评估项目目标与实际情况（如参与评估人员时间投入程度、评估预算等），评估范围内的网络、 软硬件平台构成的支撑环境、各类信息资产并不一定都要评估，宜选择具有代表性的关键资产进行评估。