Q/SY
中国石油天然气集团有限公司企业标准
Q/SY103432019
（2019年确认）
信息安全风险评估实施指南
Guidelines for information security risk assessment
2019—12—05实施
2019—12—05发布
中国石油天然气集团有限公司 发布 Q/SY10343—2019
再版说明
本标准于2019年复审，复审结论为继续有效。 本标准在发布复审结论的同时，按照《关于调整集团公司企业标准编号规则的通知》（中油质
[2016】434号的要求对标准编号进行了修改，
本次印刷与前一版相比，技术内容与前版完全一致。 本次仅对标准的封面进行了如下修改：
标准编号由Q/SY1343—2010修改为Q/SY10343—2019 一标准发布单位按照企业公章，修改为“中国石油天然气集团有限公司” Q/SY103432019
目 次
前盲
-
范围 2 规范性引用文件 3 术语和定义 4 风险评估框述
1
4.1 风险评估框架 4.2 风险评估目的 4.3 风险评估原则 4.4 风险评估方式 4.5 风险评估时机 4.6 风险评估流程风险评估实施
中E出电8EE0HE8心
5
B88888188088880
5.1计划准备阶段 5.2评估阶段 5.3 分析阶段
附录A（资料性附录） 资产信息登记表模板附录B（资料性附录） 评估所需收集文档附录C（资料性附录） 风险评怡参考文献
1 Q/SY10343—2019
前言
本标准是中国石油天然气集团有限公司信息技术专业安全系列企业标准之一，信息技术专业安全系列企业标准共6项标准，另外5项标准是：
Q/SY10341《信息系统安全管理规范》； Q/SY10342《终端计算机安全管理规范》： Q/SY10344《信息系统密码安全管理规范》： Q/SY10345《信息安全事件与应急响应管理规范》： —Q/SY10346《信息系统用户管理规范》。 本标准的附录A，附录B和附录C为资料性附录。 本标准由中国石油天然气集团有限公司信息技术专业标准化技术委员会提出并归口。 本标准起草单位：中国石油勘探开发研究院。 本标准主要起草人：靖小伟、杨志贤、 冯梅、 王春伟、高峰、王峰、 滕征岑、刘建兵、王喆、李
鹏、王牧野、董庆南、苑欣、王荣禄。张明、 普满。秦馄。王报欣。 Q/SY103432019
信息安全风险评估实施指南
1范围
本标准给出了风险评估 信息安全风险评估）的基本概念，框架，自的，原则，方式和时机，规定了风险评估的过程和方法
本标准适用于中国石油天然气集团有限公司（以下简称“中国石油"）总部及所属各企事业单位对其信息资产（包括应用系统，网络架构、重要服务器与终增计算机等）进行的风险评估实施和管理。 2规范性引用文件
下列文件中的条款通过本标准的用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新做术。儿 是不注日期的引用文件其最新版本适用于本标准。
GB/T 209842007 信息安全技术 信息安全风险评估规范 3术语和定义
下列术语和定义适用于本标准。
3.1
资产asset
对组织具有价值的信息或资源，是安全策略保护的对象。 [GB/T20984—2007，定义3.1]
3. 2
资产价值assetvalue 资产的重要程度或敏感程度的表征。资产价值是资产的属性，也是进行资产识别的主要内容。 [GB/T20984—2007，定义 .21
3.3
威胁threat 可能导致对系统或组织危害的 下希望事故潜在起因。 ［GB/T20984—2007, 定义3.177
3.4
脆弱性 vulnerability 可能被威肋所利用的瓷产或若干资产的薄弱环节。 ［GB/T20984—2007，定义3.18]
3.5
信息安全风险 information security risk 人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造
成的影响。
［GB/T20984—2007定义3.6]
3.6
（信息安全）风险评估 (information security) risk assessment Q/SY103432019
依据有关信息安全技术与管理标准，对信息系统及由其处理，传输和存储的信息的机密性，完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值判断安全事件一且发生对组织造成的影响。
［GB/T20984—2007定义3.7]
3.7
残余风险residual risk 采取了安全措施后，信息系统仍然可能存在的风险。 ［GB/T20984—2007，定艾312]
3.8
保密性 confidentiality 数据所具有的特性，即表示数据所达到的术提供或术泄露给非授权的个人，过程或其他实体的
程度。
[GB/T20984—2007，定义3.5]
3. 9
完整性integrity 保证信息及信息系统不会被非授权更改或破坏的特性，包插数据 完整性和系统完整性。 ［[GB/T20984—2007，定文3.10]
3.10
可用性 availability 数据或资源的特性，被授权实体按要求能访问和使用数据或资源［GB/T20984—2007，定义 1.37
3.11
业务战略business strategy 组织为实现其发展目标而制定的一组规则或恶［GB/T20984—2007，定义3.4]
3.12
安全事件security incident 系统。服务或网络的一种可识别就态的发生： 记店 自 童略的违反或防护措施的实
效，或未预知的不安全状况。
［GB/T20984—2007定义3.14 3.13
安全需求security requirement 为保证组织业务战略的正常运作而在安全措施方而提出的要求。 ［GB/T20984—2007，定义316]
3.14
安全措施 security measure 保护资产，抵御威胁。减少脆弱性，降低安全事件的影响，以及打击信息犯罪而实施的各种实
践，规程和机制。
［GB/T20984—2007定义3.15] 4风险评估概述 4.1 风险评估框架 4.1.1风险要素 Q/SY103432019
按GB/T209842007中4.1的规定执行。 4.1.2风险分析
图1给出了风险分析原理。
威胁识别
威助出现的顿率
安全事件的可能性
脆弱性识别
造弱性的严重程度
风险值
资产识别
产价怡
图风险分析原理图
风险分析中应涉及资产、威胁、脆弱性三个基本要素 个要素有各自的属性，资产的属性是资产价值：威胁的属性是威胁主 影响划象、 现频率，动机等： 弱性的属性是资产弱点的严重
出
程度。
风险分析的主要内容控GB/T 20984—20017中4.2的规定执行 4.2风险评估目的 4.2.1发现现有基础信息网络和重要信息系统的安全间题和跑惠，提出针对性改进措施。 4.2.2识别在建系统和将建系免在生命周期客 阶段的安全风险 4.2.3分析现有信息网络安全相关的组织管理机构、管理制度和管理流程的缺陷与不足。 4.2.4评价已有信息安全建设的适当性，合规性。 4.3风险评估原则 4.3.1信息系统整体原则
评估应从实际需求出发，不应局限于网络，主机等单个的安全层面。 应能够从信息系统整体角度进行评估。 4.3.2动态性原则
评估是动态的，阶段性 重复的，并非一次评估即可解决所有问题 立确认本次评估所能够达到的目标，并依据评估的动态特性考虑再评估的 4.3.3适当性原则
评估应选择恰当的评估对象。评估范围 4.3.4规范化原则
评估过程和成果文档，应具有规范性，便于项目的跟踪和控制 4.3.5可控性原则
评估过程和所使用的工具应具有可控性。评估所采用的工具应经过实践检验，或按要求和网络特点定制。 4.3.6最小影响原则
评估工作应精心筹划，不应对网络和信息系统的运行及业务的正常运作产生显著影响。 4.3.7保密性原则
参与评估的人员应签署保密协议，不应将评估中的数据用于有损中国石油利益的活动。 4.4风险评估方式 4.4.1自评估 Q/SY10343—2019
自评估是信息系统拥有者依靠自身力量：对自有的信息系统进行的风险评估活动。 自评估应结合系统特定的安全要求进行。应按第5章的规定定期进行安全风险自评估。 周期性进行的自评估宜在评估流程上进行简化，重点考察自上次评估后系统发生变化引人的新威
胁，以及对系统脆弱性的完整识别，以便于两次评估结果的对比。 4.4.2检查评估
检查评估是由主管单位发起，对下级单位的安全风险管理工作进行检查而进行的评估活动，应定期、抽样进行。
检查评估应依据本标准的求，实施完整的风险评估过程或对关键环节。重点内容实施评估。 4.4.3委托评估
委托评估指信息系统使用单位空托具有风险评估能力和拍关资质的专业评估机构实施的评估活动。
在委托评估中，接受委托的评估机构世拥有风险评估的专业人，评估方应与系统承建者保持独立，不能为同一实体，评估方在评估中应向亲统承建者进行咨询。对于复杂的评估，应注重被评估单位的业务和管理人员的全程。 4.5风险评估时机 4.5.1规划阶段
按GB/T20984—2007 中62的规生执行 4.5.2设计阶段
按GB/T20984—2007 中63的规定热行 4.5.3实施阶段
按GB/T20984—2007中6.4的规定执行。 4.5.4运行维护阶段
按GB/T20984—2007中6.5的规定执 4.5.5废弃阶段
按GB/T20984—2007中6.6的规定执行。 4.6风险评估流程
图2给出了风险评估各阶段内睿和步风险评估流程的详细说明见第5章。
5风险评估实施 5.1计划准备阶段 5.1.1制定项目计划 5.1.1.1确定评估目标范围和对象
企业应有一个明确的评估目标，以指导评估范围的确定。合理确定并严格控制项目范围。是风险评估工作的第一步。评估计划，参与人员，评估成本预算等应在范围确定后才能进行。评估范围的确定应进行仔细研究，过大的范围可能导致评估工作量的扩大，对时间，成本等要求均会扩大，可能无法达到预期的效果。过小的评估范围则无法反映信息系统风险的实际情况。评估范围一且确定，不应轻易变更，范围的变更将直接影响项目的进度计划，参与人员等，可能导致项目进度的变更，甚至影响项目的效果。
按评估项目自标与实际情况（如参与评活人员时间投人程度，评估预算等）：评范围内的网络：
软硬件平台构成的支撑环境。各类信息资产并不一定都要评估，宜选择具有代表性的关键资产进行评估。