ＩＣＳ ３３．０４０ Ｍ２１ Ｙ口 中华人民共和国通信行业标准 网络与信息安全风险评估 服务能力评估方法 Ｅｖａｌｕａｔｉｏｎ ｃｄｔｅｒｉａ ｏｆ ｓｅｒｖｉｃｅ ｃａｐａｂｉｌｉｔｙ ｆｏｒ ｎｅｔｗｏｒｋ ａｎｄ ｉｎｆｏｒｍａｔｉｏｎ ｓｅｃｕｒｉｔｙ ｒｉｓｋ ａｓｓｅｓｓｍｅｎｔ 中华人民共和国工业和信息化部发布 前言……………………………………………………………………………………………………………ＩＩ 次 目 参考文献…………………………………………………………………………………………………………１２ ８评价要求……………………………………………………………………………………………………１１ ７信息安全风险评估服务能力分级评价要求………………………………………………………………ｌＯ ６信息安全风险评估服务过程要求……………………………………………………………………………３ ５风险评估提供者基本能力要求………………………………………………………………………………２ ４概ｊ盎……………………………………………………………………………………………………………２ ３术语和定义……………………………………………………………………………………………………１ ２规范性引用文件………………………………………………………………………………………………Ｉ １范围……………………………………………………………………………………………………………１ ＹＤ厂ｒ 昌 刖 Ⅱ 飞、王红虹、王红阳、陈彪、姚伟栋。 本标准主要起草人：舒敏、陈晓桦、叶红、翟亚红、曹亚斌、孙东红、禄凯、何清林、黄元 公司、北京神州绿盟科技有限公司。 本标准起草单位：国家计算机网络应急技术处理协调中心、清华大学、北京启明星辰信息技术有限 本标准由中国通信标准化协会提出并归口。 １６２１－２００７‘网络与信息安全服务资质评估准则＞保持一致。 本标准与ＹＤ／Ｔ ２２５２—２０１１ 具备一定的风险评估能力，按照合同或协议。为信息系统所有者提供信息安全风险评估服务的组织。 Ｐｒｏｖｉｄｅｒ Ｓｅｒｖｉｃｅ Ｓｅｃｕｒｉｔｙ 信息安全风险评估服务提供者Ｉｎｆｏｒｍａｔｉｏｎ ３．３ 弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施。 从风险管理角度。运用科学的方法和手段。系统地分析网络与信息系统所面临的威胁及其存在的脆 并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。 和可用性等安全属性进行评价的过程。评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性， 依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性 Ａｓｓｅｓｓｍｅｎｔ Ｒｉｓｋ Ｓｅｃｕｄｔｙ 信息安全风险评估Ｉｎｆｏｒｍａｔｉｏｎ ３．２ 对风险进行处理的一系列活动，如接受风险、规避风险、转移风险、降低风险等。 Ｔｒｅａｔｍｅｎｔ 风险处置Ｒｉｓｋ ３．１ 中的术语和定义及以下术语和定义适用于本文件。 ２０９８４‘信息安全技术信息安全风险评估规范》 ５２７１．８‘信息技术词汇第８部分：安全》、ＧＢ／ｒ ＧＢ［ｒ ３术语和定义 信息安全技术信息安全风险评估规范 ２０９８４ 信息技术词汇第８部分：安全 ５２７１．８ ＧＢ／Ｔ 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文 ２规范性引用文件 性规范，也可为信息安全风险评估服务提供者改进自身服务能力提供参考。 信息安全风险评估服务提供者的依据，及有关主管部门对信息安全风险评估服务提供者进行管理的技术 本标准适用于对网络与信息安全风险评估服务提供者的服务能力评价，可作为信息系统所有者选择 估服务提供者进行评价的要求。 本标准规定了网络与信息安全风险评估服务提供者应具备的服务能力要求，以及对信息安全风险评 １范围 网络与信息安全风险评估服务能力评估方法 ２ ａ）具有中华人民共和国境内的独立法人资格，具有相关部门颁发的合法经营资格； 风险评估服务提供者应： ５．１基本条件 ５风险评估提供者基本能力要求 容，应与用户充分沟通并进行应急备份，选择避开业务的高峰时间进行。 对于在线业务系统的风险评估，首先应保障业务系统稳定运行。对于需要进行攻击性测试的工作内 ４．２．４最小影响原则 略的许可。 安全服务人员所使用的评估工具应事先通告用户，在项目实施过程中应获得用户对产品、工具、策 ｄ）工具可控性 应依据项目管理规范进行项目管理，组建项目实施团队，实行项目经理负责制，做到项目过程的可控。 ｃ）过程可控性 经授权不得泄露给任何单位和个人，确保项目成员的安全控制与管理。 所有参与评估的人员均应签署保密协议以进行项目安全约束，对过程数据和结果数据严格保密，未 ｂ）人员可控性 全评估工作顺利进行。 在评估工作沟通会议中，事先向用户介绍评估服务流程，明确需要得到用户协作的内容，以确保安 ａ）服务可控性 ４．２．３可控性原则 点，重点包括基础网络、业务网络、操作系统、应用基础平台、业务应用平台等。 信息安全风险评估应以被评估组织的关键业务为核心，涉及关键业务的相关网络与系统为评估的重 ４．２．２核心业务原则 信息系统安全风险评估应参照国际、国家、行业标准等进行实施。 ４．２．１标准性原则 ４．２实施风险评估服务的原则 特殊要求三个部分，详见第５章、第６章、第７章。 在本标准中，信息安全风险评估服务能力等级要求包含基本能力要求、过程能力要求和不同等级的 二级，三级共三个等级，其中一级最高，三级最低。 信息安全风险评估服务能力等级是衡量风险评估服务提供者服务能力的尺度。能力等级分为一级、 提供科学依据。 策和安全整改措施，防范和消除信息安全风险，或将风险控制在可接受的水平，为网络和信息安全保障 胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对 过程。风险评估服务提供者通过对信息系统提供风险评估服务。系统地分析网络与信息系统所面临的威 信息安全风险评估是信息安全保障的基础性工作和重要环节，贯穿于网络和信息系统建设运行的全 ４．１信息安全风险评估服务概述 ４概述 ２２５争嘤０１１ ＹＤ厂ｒ ３ 备是评估实施有效性的保证，是风险评估工作的开始；风险识别主要是对评估活动中的各类关键资产、 信息安全风险评估服务过程可分为评估准备、风险识别、风险分析、风险处置４个关键阶段。评估准 ６．１信息安全风险评估服务过程 ６信息安全风险评估服务过程要求 准的动向，有能力掌握信息安全的最新技术和标准；有专门的人员持续对最新的安全攻防技术进行研究。 ｇ）有专门的技术人员关注国内外权威机构发布的安全公告及漏洞公告；了解信息安全技术、安全标 及安全建议。 ｆ）具备风险评估方案；能够按照标准要求提供信息安全风险评估报告，报告应包括安全评估的结果 ｅ）具备风险评估有关的工作流程及操作规范。 人工评估、白盒测试、顾问访谈等。 ｄ）可采用远程、本地两种方式进行安全评估，安全评估方法可包括工具扫描、渗透测试、配置检查、 能进行确认，保证测试工具的可用性、稳定性、安全性。 担风险评估项目所需的工具，如漏洞扫描工具、渗透测试工具、协议分析仪等；对测试工具的功能、性 ｃ）具备独立的测试环境及必要的软、硬件设备。用于满足技术培训和模拟测试的需要；具备满足承 ｂ）具备对风险处置、安全整改提出有效措旌的能力。 系统的脆弱性进行有效识别和分析。 统的信息资产价值的能力；能够全面、准确了解组织和信息系统所面临的各种威胁；能够对组织和信息 ａ）具有建立适当的风险分析模型、选择适当的风险计算方法的能力；具有识别并分析组织和信息系 ５．３基本技术能力要求 ｅ）使用符合标准要求的检查列表、文档模板、测试工具，保证评估质量的一致性。 常的监督检查。 体包括对组织内外的交流机制、规划关键技术活动、选择服务小组、设立项目的里程碑及评审要求、日 ｄ）按照持续改进的要求制定风险评估项目的管理制度；制定风险评估项目计划及监督检查要求，具 定期对服务人员进行培训、指导、考核。 ｃ）建立人员管理程序，使每一位服务人员持续满足岗位职责的需求；制定风险评估技能培训计划， 责任书》，规定应当履行的安全保密义务和承担的法律责任，并负责落实。 ｂ）制定保密管理要求，明确保密岗位与职责，定期对服务人员进行保密教育与培训，并签订《保密 动中产生的文档、最终评估报告等。 ａ）采取技术和管理措施确保客户信息的安全、可控，这些信息包括但不限于客户资料、风险评估活 风险评估服务提供者应： ５．２基本管理能力要求 ｅ）遵守国家现行法律、法规的规定。 ｄ）近两年内经济状况良好，财务数据真实可信，并应经国家相关部门认定的会计师事务所核实； ｃ）具有固定的工作场所； ｂ）从事涉密信息系统的风险评估服务提供者应满足国家保密机关的相关要求； ２２５２－２０１１ ＹＤ／Ｔ ４ ａ）业务系统的业务逻辑边界； 和评估蔼国边界，可以参考以下依据作为评估范围边界的划分原则： 在确定评估藕围时，应结合已确定的评估目标和组织的实际信息系统建设情况，合理定义评估对象 组织知识产权相关的系统或部门等。 部的信息及与信息处理相关的各类资产、管理机构，也可以是某个独篮酌信息系统、关键业务流程、与 ２）应确定评估范圈‘在确定风险评估目标之后，应进一步明确风险评估的评估范围，可以是组织全 的特定系统资源。 持各种业务功能的相应信息系统资源及其他资源，确定系统执行的关键功能，并确定执行这些功能所需 １）应确定评估目标。充分了解评估对象，了解各项业务功能及各项业务功能之间韵柏关性，确定支 ６．２．２控制措施。服务需求界定 求界定、服务合同签订、服务方案制定、人员和工具准备等工作。 业务流程、安全需求、系统规模和结构等各方面的影响．因此，在风险评估实施前，位充分做好服务需 评估准备阶段是整个风险评估过程有效性的保证，风险评估的结果可能会受到评估对鑫的业务战略、 主要内容 ６．２．１ ６．２评估准备阶段 有必备要求和可选要求，具体要求见６．２至６．５。 ．信息安全风险评估服务提供者应按照每一阶段的要求为被评估对象提供评估服务。每一阶段的要求 残余风险处置 组织评审会 安ｉ：Ｉｔｒ破建议 处置原则 。风险处置 风脸评估报告 风险分析与评价 风险计算方法 风险分析模型 风险分析 已有安全措施确认 赡弱性识别 威胁识别 资产识别 风险识别 人员和工具准鲁 服务方案制定 服务合同签订 服务需求界定 评估准备 控制措施 阶段 信息安全风险评估臆务过程控Ｉ刚制囊 裹１ 段内容的要点以及支持控制要点的最佳实践。 信息安全风险评估服务过程包括４个阶段，１６个主要控制措施，见表１。