◆甘清云

《信息安全風(fēng)險(xiǎn)評估規(guī)范》修訂思考

◆甘清云

（中國直升機(jī)設(shè)計(jì)研究所 天津 300300）

2018年1月，《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評估規(guī)范（修訂版）》（征求意見稿）對外公示進(jìn)行意見征集。文章介紹了規(guī)范修訂的主要內(nèi)容、進(jìn)一步完善的思考。

信息安全風(fēng)險(xiǎn)評估規(guī)范；修訂

0 引言

《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評估規(guī)范》（GB/T 20984-2007）于2007年發(fā)布實(shí)施以來在信息安全領(lǐng)域起到了重要的作用，被廣泛應(yīng)用于各個(gè)行業(yè)和領(lǐng)域的信息安全風(fēng)險(xiǎn)評估工作中。標(biāo)準(zhǔn)頒布已有十余年，GB/T 20984-2007中部分內(nèi)容已不適宜當(dāng)前的信息安全新形勢和新環(huán)境，因此需要對GB/T 20984-2007進(jìn)行修訂完善。

1 《信息安全風(fēng)險(xiǎn)評估規(guī)范》簡介

《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評估規(guī)范》（GB/T 20984-2007）于2007年6月14日發(fā)布，2007年11月1日實(shí)施。規(guī)范提出了風(fēng)險(xiǎn)評估的基本概念、要素關(guān)系、分析原理、實(shí)施流程和評估方法，以及風(fēng)險(xiǎn)評估在信息系統(tǒng)生命周期不同階段的實(shí)施要點(diǎn)和工作形式。規(guī)范章節(jié)除范圍、規(guī)范性引用文件、術(shù)語和定義外，分為：風(fēng)險(xiǎn)評估框架及流程、風(fēng)險(xiǎn)評估實(shí)施、信息系統(tǒng)生命周期各階段的風(fēng)險(xiǎn)評估、風(fēng)險(xiǎn)評估的工作形式。規(guī)范附錄為風(fēng)險(xiǎn)的計(jì)算方法和風(fēng)險(xiǎn)評估的工具。

2016年，經(jīng)國標(biāo)委批準(zhǔn)，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會（SAC/TC260）2016年第二次全會討論通過，研究修訂《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評估規(guī)范》。2018年1月形成《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評估規(guī)范（修訂版）》（征求意見稿）。

2 規(guī)范修訂的主要內(nèi)容

2.1 風(fēng)險(xiǎn)評估框架及流程中的修訂

GB/T 20984-2007中風(fēng)險(xiǎn)評估要素為：資產(chǎn)、威脅、脆弱性、安全措施、風(fēng)險(xiǎn)。這次修訂風(fēng)險(xiǎn)評估要素變?yōu)椋簶I(yè)務(wù)、資產(chǎn)、威脅、脆弱性、安全措施和風(fēng)險(xiǎn)。最直接也最明顯的變化就是增加了業(yè)務(wù)這個(gè)要素，由原來的基于資產(chǎn)的評估調(diào)整為基于業(yè)務(wù)保護(hù)的風(fēng)險(xiǎn)評估，實(shí)際了也充分體現(xiàn)了我們不是為了安全而安全，安全的終極目標(biāo)還是為了保障業(yè)務(wù)安全。

相應(yīng)的在評估流程中增加了組織發(fā)展戰(zhàn)略識別與分析、業(yè)務(wù)識別、資產(chǎn)/業(yè)務(wù)/發(fā)展戰(zhàn)略關(guān)聯(lián)分析。把風(fēng)險(xiǎn)處理作為一個(gè)章節(jié)從風(fēng)險(xiǎn)評估實(shí)施章節(jié)中獨(dú)立出來，體現(xiàn)了風(fēng)險(xiǎn)評估和風(fēng)險(xiǎn)處理分別是風(fēng)險(xiǎn)管理全生命周期中2個(gè)不同的階段。

2.2 風(fēng)險(xiǎn)評估實(shí)施中的修訂

風(fēng)險(xiǎn)評估實(shí)施章節(jié)主要是新增了發(fā)展戰(zhàn)略識別、業(yè)務(wù)識別、戰(zhàn)略/業(yè)務(wù)/資產(chǎn)分析3個(gè)部分。發(fā)展戰(zhàn)略識別的內(nèi)容包括組織的屬性與職能定位、發(fā)展目標(biāo)、業(yè)務(wù)規(guī)劃和競爭關(guān)系。業(yè)務(wù)識別內(nèi)容包括業(yè)務(wù)的定位、業(yè)務(wù)關(guān)聯(lián)性識別和業(yè)務(wù)完整性。業(yè)務(wù)識別是風(fēng)險(xiǎn)評估的關(guān)鍵環(huán)節(jié)。業(yè)務(wù)識別與戰(zhàn)略識別關(guān)系緊密，相互補(bǔ)充。戰(zhàn)略/業(yè)務(wù)/資產(chǎn)關(guān)聯(lián)分析的重點(diǎn)是戰(zhàn)略對業(yè)務(wù)的依賴性分析、業(yè)務(wù)對資產(chǎn)的依賴性關(guān)系和資產(chǎn)三大屬性（機(jī)密性、完整性、可用性）喪失對業(yè)務(wù)/戰(zhàn)略影響分析。

2.3 增加風(fēng)險(xiǎn)處理

風(fēng)險(xiǎn)處理章節(jié)分風(fēng)險(xiǎn)接受準(zhǔn)則、風(fēng)險(xiǎn)處理計(jì)劃、殘余風(fēng)險(xiǎn)評估。在規(guī)范中風(fēng)險(xiǎn)處理章節(jié)篇幅較少，個(gè)人認(rèn)為主要的原因在于關(guān)于風(fēng)險(xiǎn)處理有專門的標(biāo)準(zhǔn)《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)處理實(shí)施指南》（GB/T 33132-2016）來詳細(xì)介紹。

2.4 增加風(fēng)險(xiǎn)分析示例

由基于資產(chǎn)的評估調(diào)整為基于業(yè)務(wù)的評估后，風(fēng)險(xiǎn)分析到底應(yīng)該怎么實(shí)際落地，在附錄部分增加了風(fēng)險(xiǎn)分析示例。示例從要素識別、脆弱性和已有安全措施關(guān)聯(lián)分析、威脅和脆弱性關(guān)聯(lián)分析、使用矩陣法計(jì)算風(fēng)險(xiǎn)4個(gè)方面描述了風(fēng)險(xiǎn)分析的實(shí)際操作方法，具有非常強(qiáng)的指導(dǎo)性和針對性，值得參考。

3 規(guī)范進(jìn)一步完善的思考

3.1 需要從信息安全風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)體系的高度謀劃其他規(guī)范的修訂

目前，信息安全風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)體系主要包括《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評估規(guī)范》（GB/T 20984-2007）、《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)管理指南》（GB/Z 24364-2009）、《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評估實(shí)施指南》（GB/T 31509-2015）、《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)處理實(shí)施指南》（GB/T 33132-2016）、《信息技術(shù) 安全技術(shù) 信息安全風(fēng)險(xiǎn)管理》（GB/T 31722-2015 IDT ISO/IEC 27005:2008）。

《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評估實(shí)施指南》（GB/T 31509-2015）是《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評估規(guī)范》（GB/T 20984-2007）的實(shí)施細(xì)則，既然GB/T 20984-2007已經(jīng)在修訂，所以應(yīng)該同步考慮GB/T 31509-2015的同步修訂，否則就存在兩個(gè)標(biāo)準(zhǔn)之間 “打架”。

3.2 信息安全風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)之間的界面還存在不清晰現(xiàn)象

目前的信息安全風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)體系中既有我國自研的國家標(biāo)準(zhǔn)，也有等同采用的國際標(biāo)準(zhǔn)；既有頂層一些的規(guī)范，也有偏向操作落地層面的實(shí)施指南；既有多年前編制的標(biāo)準(zhǔn)，也有近幾年編制的標(biāo)準(zhǔn)；部分標(biāo)準(zhǔn)之間還是存在不少重復(fù)的內(nèi)容，可以做整合。比如GB/T 31509-2015和正在修訂的《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評估規(guī)范》就可以整合為一個(gè)標(biāo)準(zhǔn)。

3.3 信息安全與網(wǎng)絡(luò)安全

網(wǎng)絡(luò)空間成為繼陸地、海洋、天空、外空之外的第五空間。隨著網(wǎng)絡(luò)空間地位的日益提升，網(wǎng)絡(luò)空間已成為各國家、地區(qū)間安全博弈的新戰(zhàn)場。“沒有網(wǎng)絡(luò)安全就沒有國家安全，沒有信息化就沒有現(xiàn)代化”。《中華人民共和國網(wǎng)絡(luò)安全法》、《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》相繼出臺。今年6月公安部會同有關(guān)部門起草的《網(wǎng)絡(luò)安全等級保護(hù)條例（征求意見稿）》向社會公開征求意見，該保護(hù)條例將取代2007年發(fā)布的《信息安全等級保護(hù)管理辦法》。除了一個(gè)是條例另一個(gè)是管理辦法的區(qū)別外，其中一個(gè)很大的變化在于將“信息安全”改為了“網(wǎng)絡(luò)安全”。此次在修訂《信息安全風(fēng)險(xiǎn)評估規(guī)范》時(shí)是否也可以考慮改為《網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估規(guī)范》呢？這個(gè)問題值得標(biāo)準(zhǔn)修訂者思考。

4 結(jié)束語

2018年1月《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評估規(guī)范（修訂版）》（征求意見稿）面向社會進(jìn)行意見征集，規(guī)范編制工作組收到了不少的意見建議，相信他們一定會吸納好的意見建議，打磨出一份高質(zhì)量的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估規(guī)范，為提升網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估能力做出積極貢獻(xiàn)。

[1]范紅.國家信息安全風(fēng)險(xiǎn)評估標(biāo)準(zhǔn)及試點(diǎn)工作進(jìn)展介紹[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2005.

[2]梁洪濤，王大萌，黃俊強(qiáng)，馬遙.信息安全風(fēng)險(xiǎn)評估規(guī)范在電子政務(wù)中的應(yīng)用[J].信息技術(shù),2007.

[3]沈浩，杜彥輝，孫言.信息安全風(fēng)險(xiǎn)評估標(biāo)準(zhǔn)研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2009.

[4]魏克. 閱讀標(biāo)準(zhǔn) 參與實(shí)踐 信息安全風(fēng)險(xiǎn)評估待提高[J].中國教育網(wǎng)絡(luò),2010.

[5]謝宗曉，劉立科.信息安全風(fēng)險(xiǎn)評估/管理相關(guān)國家標(biāo)準(zhǔn)介紹[J].中國標(biāo)準(zhǔn)導(dǎo)報(bào),2016.