2024信息安全風(fēng)險評估技術(shù)服務(wù)規(guī)范

前 引 范 規(guī)范性引用文 術(shù)語和定 評估原 評估方 風(fēng)險評估總體流 風(fēng)險評估準(zhǔn)備階 確定風(fēng)險評估目 確定風(fēng)險評估的對象、范圍和邊 組建評估團(tuán)隊和選擇評估工 開展前期調(diào) 制定評估方 風(fēng)險評估實施階 資產(chǎn)識 威脅識 已有安全措施識 脆弱性識 風(fēng)險分析階 風(fēng)險評價階 風(fēng)險處理建 風(fēng)險處理原 安全整改建 風(fēng)險整改處置建 風(fēng)險評估報 風(fēng)險評估過程風(fēng)險規(guī) 風(fēng)險評估文檔記 風(fēng)險評估文檔記錄要 風(fēng)險評估文 附錄A（規(guī)范性）資產(chǎn)識 附錄B（規(guī)范性）威脅識 附錄C（規(guī)范性）安全脆弱性核查 附錄D（規(guī)范性）風(fēng)險計 評估能提升行業(yè)核心信息系統(tǒng)安全風(fēng)險并及時發(fā)現(xiàn)糾正消除安全隱患，避免因信息安全問題造成重大《關(guān)于加強國家電子政務(wù)工程建設(shè)項目信息安全風(fēng)險評估工作的通知（20082071號GB/T20984–2022《信息安全技術(shù)信息安全風(fēng)險評估方法》GB/T31509–2015GB/T22239–2019風(fēng)險評估riskassessmentinformationsecurity資產(chǎn)價值A(chǔ)ssetInformationrisk物力范圍Materialforcerange采用安全核查表的形式從管理層面和技術(shù)規(guī)范執(zhí)行角度，對信息系統(tǒng)進(jìn)行現(xiàn)場或非現(xiàn)場的安全管隱患。網(wǎng)絡(luò)和計算機系統(tǒng)的方法。滲透測試能最大限度的發(fā)現(xiàn)業(yè)務(wù)應(yīng)用系統(tǒng)存在的可被外部攻擊所利用的漏洞、弱點，以及驗證安全保護(hù)措施的有效性;同時，將侵入系統(tǒng)并獲取系統(tǒng)信息的過程和細(xì)節(jié)記錄下來并呈現(xiàn)給用戶。風(fēng)險評估應(yīng)貫穿于信息系統(tǒng)生命周期的各階段中，由于信息系統(tǒng)生命周期各階段中風(fēng)險評估實施階段開展，評估目標(biāo)應(yīng)符合以下原則：風(fēng)險評估的對象是構(gòu)成整個信息系統(tǒng)的各種元素，這些元素直接關(guān)聯(lián)到系統(tǒng)的業(yè)務(wù)或任務(wù)的重要表1制，確保各階段工作的有效實施；人員(CISP)表21)風(fēng)險評估方案的目的是為后面的風(fēng)險評估實施活動提供一個總體計劃，用于指導(dǎo)實施方開展后續(xù)般包括(但不僅限于)：表3智能終端設(shè)備：感知節(jié)點設(shè)備（物聯(lián)網(wǎng)感知終端）服務(wù)接口：系統(tǒng)對外提供服務(wù)以及系統(tǒng)之間的信息共享邊界,如云計算PaaS表4表5表6表7影響程度賦值是指脆弱性被威脅利用導(dǎo)致安全事件發(fā)生后對資產(chǎn)價值所造成影響的輕重程度分析層面、系統(tǒng)組件和單元三個層面進(jìn)行分析。表8具體風(fēng)險計算過程見附錄D表9首要措施：[具體建議措施1輔助措施：[具體建議措施2改高技〔2008〕2071號）文附件文件格式。...（繼續(xù)列出其他風(fēng)險問題風(fēng)險評估文檔是指在風(fēng)險評估過程中產(chǎn)生的過程文檔和結(jié)果文檔，包括（但不僅限于此產(chǎn)、系統(tǒng)資產(chǎn)、系統(tǒng)組件和單元資產(chǎn)），附錄表A.1表A.2表A.3資產(chǎn)的可用性要求非常高，合法使用者對資產(chǎn)的可用度達(dá)到年度99.9%資產(chǎn)的可用性要求較高，合法使用者對資產(chǎn)的可用度達(dá)到每天90%以上，或系統(tǒng)允許中斷時間小于10min資產(chǎn)的可用性要求中等，合法使用者對資產(chǎn)的可用度在正常工作時間達(dá)到70%小于30min資產(chǎn)的可用性要求較低，合法使用者對資產(chǎn)的可用度在正常工作時間達(dá)到25%小于60min資產(chǎn)的可用性要求非常低,合法使用者對資產(chǎn)的可用度在正常工作時間低于25%附錄威脅來源分類見表B.1表B.1威脅種類見表B.2表B.2威脅動機分類見表B.3表B.3好奇心、自負(fù)、無意的錯誤和遺漏（例如，數(shù)據(jù)輸入錯誤、編程錯誤）特定威脅行為能力賦值見表B.4表B.4威脅行為、種類、來源對應(yīng)見表B.5表B.5網(wǎng)絡(luò)攻擊、權(quán)限偽造、行為否認(rèn)（抵賴）威脅種類、資產(chǎn)、威脅行為關(guān)聯(lián)分析示例見表B.6表B.6表B.7附錄C.1*注釋：*C.2IPIP***是否監(jiān)測并保存網(wǎng)絡(luò)運行狀態(tài)和日志不少于6注釋：*C.3IPIP注釋：*C.4▲應(yīng)檢查客戶端機器上是否有cookies▲應(yīng)檢查cookies▲網(wǎng)站/web注釋：*C.5▲是否關(guān)掉Extproc注釋：*C.6審批過程，*注釋：*C.7注釋：*C.8注釋：*C.9注釋：*C.10**注釋：*C.11防病毒網(wǎng)關(guān)和郵件防病毒網(wǎng)關(guān)上截獲的危險病毒或惡意代碼進(jìn)行及時分析處理,并