1.3 信息安全风险评估

1.3.1 信息安全风险评估的定义

信息安全风险评估是风险评估理论和方法在信息系统中的运用，是从风险管理的角度出发，依据相关评估标准，运用科学评估手段，系统分析组织所面临的威胁及存在的脆弱性，评估风险事件一旦发生可能造成的危害程度，为防范和化解信息安全风险或者将风险控制在可以接受的水平，制定有针对性的抵御威胁的防护对策和整改措施，最大限度地保障网络和信息安全提供科学依据。

GB/T 25069—2010《信息安全技术 术语》定义信息安全风险评估是：风险识别、风险分析和风险评价的整个过程。GB/T 20984《信息安全技术 信息安全风险评估规范》（2018征求意见稿）（简称GB/T 20984）定义信息安全风险评估是：依据有关信息安全技术与管理标准，对业务和信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程。信息安全风险评估要评估业务和资产面临的威胁，以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的业务和资产价值来判断安全事件一旦发生对组织造成的影响。

1.3.2 信息安全风险评估的目的和意义

信息安全风险评估是信息安全管理的核心环节。通过开展信息安全风险评估工作，发现组织在信息安全方面存在的主要问题和矛盾，合理地做出规划，正确地开展安全建设，提高信息安全保障水平。

1.信息安全风险评估是信息安全建设的起点和基础

信息安全风险评估是风险评估理论和方法在信息安全中的运用，科学分析组织的信息和信息系统在保密性、完整性、可用性等方面的问题，明确组织的安全风险，可以准确地了解组织的安全现状，才能做出决策并采取正确的措施。

所有信息安全建设都应该基于信息安全风险评估，只有在正确、全面地理解风险后，才能在控制风险、减少风险、转移风险之间做出正确的判断，决定调动多少资源、以什么代价、采取什么样的应对措施去控制风险。

2.信息安全风险评估是需求主导原则的具体体现

信息安全建设必须从实际出发，坚持需求主导原则，并突出重点，风险评估就是这一原则在实际工作中的重要体现之一。风险总是客观存在的，安全是安全风险与安全建设管理代价的综合平衡。不考虑风险的信息化必然要付出代价；不计成本、片面地追求绝对安全，试图消灭风险或完全避免风险也是不现实的。应当坚持从实际出发，坚持需求主导、突出重点，科学地评估风险，有效控制风险。

3.信息安全风险评估结果是后续安全建设的依据

单独的安全风险值没有实际意义，不能将计算风险值作为风险评估的唯一重点，也不能把风险值作为风险评估的唯一成果。将风险评估视为对风险值的数据处理是一种误区，只有将评估结果纳入整体的建设规划中，指导后续安全建设，风险评估才能发挥作用。

4.信息安全评估是组织实现信息系统安全的重要步骤

通过信息安全风险评估，可以全面、准确地了解组织机构的安全现状，发现信息安全问题及其可能的危害，分析组织的安全需求，找出目前的安全策略和实际需求的差距，为决策者制定安全策略、构架安全体系提供严谨的分析依据。

1.3.3 信息安全风险评估的原则

在有效的规则约束下，才能确保风险评估实施质量。因此，在进行风险评估之前，应该确定评估所遵循的原则。信息安全风险评估的原则包括以下几项。

（1）标准性原则：评估信息系统的安全风险，应按照GB/T 20984中规定的评估流程实施，并对各阶段的工作进行评估。

（2）关键业务原则：信息安全风险评估应以被评估组织的关键业务作为评估工作的核心，把设计这些业务的相关网络与系统，包括基础网络、应用基础平台、业务网络、业务应用平台等作为评估的重点。

（3）可控性原则：在风险评估项目实施过程中，应严格按照标准的项目管理方法对人员与信息、服务、过程和工具等进行控制，以保证风险评估实施过程的可控和安全。

● 人员与信息可控性：所有评估的工作人员均应签署保密协议，以保证项目信息的安全；对工作过程中产生的中间数据和结果数据应进行严格管理，未经授权不得泄露给任何单位或个人。

● 服务可控性：评估方应先在评估工作沟通会议中向用户介绍评估服务流程，明确用户需要提供的工作内容，确保整个安全评估服务工作的顺利进行。

● 过程可控性：评估项目管理应依据项目管理方法，成立项目实施团队，执行项目组长负责制，达到项目过程的可控。

● 工具可控性：所使用的评估工具均应通过多方综合性能比较、精心挑选，在项目实施前获得用户许可，包括产品本身、测试策略等，并取得有关专家论证和相关部门的认证。

（4）最小影响原则：对在线业务系统的风险评估，应基于最小影响原则，保障业务系统的稳定运行；对需要进行攻击测试的工作内容，需要与用户沟通并进行应急备份，同时选择避开业务高峰时间进行。从项目管理层面和工具技术层面，力求将风险评估对系统正常运行的可能性影响降低到最低。

1.3.4 信息安全风险评估过程

风险评估包括风险评估准备、风险识别、风险分析和风险评价四个主要阶段。

（1）风险评估准备阶段：风险评估准备阶段是整个风险评估过程可控性及评估结果客观性的有效保证。在信息安全风险评估实施前应进行充分的准备和计划，通常准备活动包括确定信息安全风险评估的目标、对象、范围和边界；组建评估团队、开展前期调研、确定评估依据、制定评估方案并获得组织最高管理者的支持和批准。

（2）风险识别阶段：风险识别阶段是风险评估过程的重要阶段，通过对组织和系统中的发展战略及业务、资产、威胁、脆弱性、已有安全措施等要素进行识别，是进行信息安全风险分析的前提。

（3）风险分析阶段：风险分析阶段的主要工作是进行风险分析和计算，计算出风险值，确定风险等级。

（4）风险评价阶段：风险评价阶段是对组织或信息系统总体信息安全风险的评价。

风险评估工作是持续性的活动，当被评估对象的政策环境、外部威胁环境、业务目标、安全目标等发生变化时，应重新开展风险评估。

1.3.5 信息安全风险管理与风险评估的关系

我们可以简单地认为，风险评估是风险管理的一个阶段，是在更大的风险管理流程中的一个评估风险的阶段。如果把风险管理理解成一个“对症下药”的过程，那么风险评估就是其中的“对症”过程，只是找到问题所在，并没有义务解决。而风险管理还包括风险处置的环节，是在整个组织内把风险降低到可接受水平的过程。风险评估和风险处置是风险管理活动的两大主体，风险管理活动就是这两大主体过程不断循环、不断迭代的过程。

信息安全风险管理要依靠风险评估的结果来确定随后的风险处置等活动。风险评估使得组织能准确定位风险管理的策略、实践和工具，能够将信息安全管理活动的重点聚焦在重要问题上，能够选择成本效益合理的和适当的安全对策。基于风险评估的风险管理方法是被大量实践证明有效和实用的，被广泛应用于各个领域。因此，信息安全风险评估是信息安全风险管理的基础，是对组织的安全性进行分析的基础资料，也是信息安全领域最重要的内容之一，为实施风险管理和风险控制提供了直接依据。

了解组织信息安全需求最主要的方式就是对组织的业务实施风险评估，实施风险评估后，组织首先能够评估风险的后果，如对组织业务有多大的影响与损害；其次可以做出风险管理决策，如采取接受、转移、降低、规避风险等措施；最后还可以采取相应的措施来实施风险决策，包括选择相关控制目标和控制措施。因此风险评估是组织确定安全需求和实施风险管理的重要一环。