2.3 信息安全风险评估与管理指南

信息安全风险评估与管理的目的就是要将风险控制在可接受的程度，保护相关的信息资产。资产与风险有着天然的内在关系，即资产的价值越高，其面临的潜在风险也就越大，机构的信息资产安全关系到该机构能否安全完成其使命。

下面将分别介绍GB/T 20984—2007《信息安全技术 信息安全风险评估规范》和GB/Z 24364—2009《信息安全技术 信息安全风险管理指南》。

2.3.1 GB/T 20984—2007《信息安全技术 信息安全风险评估规范》

GB/T 20984—2007《信息安全技术信息安全风险评估规范》（Information security technology—Risk assessment specification for information security）由国务院信息化工作办公室制定，主要内容涵盖风险评估的基本概念、要素关系、分析原理、实施流程和评估方法，以及风险评估在信息系统生命周期不同阶段的实施要点和工作形式。该标准适用于规范组织开展风险评估工作。GB/T 20984—2007标准主要定义了风险评估实施流程、信息系统生命周期不同阶段的风险评估及风险评估形式，具体内容如下。

（1）风险评估实施的6个流程

风险评估准备、资产识别、威胁识别、脆弱性识别、已有安全性措施确认和风险分析。其中，风险评估准备包含确定风险评估的目标与范围，组建适当的评估管理与实施团队，调研系统信息，确定评估依据和方法，制定风险评估方案等。资产识别是指基于保密性、完整性及可用性对资产进行分类及赋值。威胁识别则主要包含基于属性的威胁分类和基于频率的威胁赋值。脆弱性识别主要是判断资产的脆弱性及其严重程度并对脆弱性进行赋值。安全措施的确认应评估安全措施的有效性，对有效的安全措施继续保持，以避免不必要的工作和费用，防止安全措施的重复实施。风险分析则包含风险计算、风险结果判定、风险处理计划及残余风险评估。

（2）信息系统生命周期各阶段的风险评估定义

风险评估应贯穿于信息系统生命周期的各阶段中。信息系统生命周期各阶段中涉及的风险评估的原则和方法是一致的，但由于各阶段实施的内容、对象和安全需求不同，使得风险评估的对象、目的、要求等各方面也有所不同。具体而言，在规划设计阶段，通过风险评估以确定系统的安全目标；在建设验收阶段，通过风险评估以确定系统的安全目标达成与否；在运行维护阶段，要不断地实施风险评估以识别系统所面临的不断变化的风险和脆弱性，从而确定安全措施的有效性，确保安全目标得以实现。因此，每个阶段风险评估的具体实施应根据该阶段的特点有所侧重地进行。

（3）风险评估开展形式

风险评估包含自评估和检查评估两种形式，同时指出信息安全风险评估应以自评估为主，自评估和检查评估相互结合、互为补充。

2.3.2 GB/Z 24364—2009《信息安全技术 信息安全风险管理指南》

GB/Z 24364—2009《信息安全技术信息安全风险管理指南》（Information security technology—Guidelines for information security risk management）由国家质量监督检验检疫总局与国家标准化管理委员会发布，其内容主要涵盖了风险评估、风险处理、批准监督、监控审查、沟通咨询，以及信息系统规划阶段、设计阶段、实施阶段、运行维护阶段与废弃阶段的信息安全风险管理。