GB/T 20984-2022 信息安全风险评估方法与实施步骤

一、标准修订背景

信息化技术的广泛应用，在提高科研、生产效率和质量的同时，也极大地增加了信息安全风险。目前解决信息安全问题普遍采用的方法是风险评估。现行的《GB/T 20984-2007 信息安全技术 信息安全风险评估规范》（以下简称“2007版”）是信息安全风险评估工作中的主要参考标准，于2007年正式发布并实施。

随着近年来《中华人民共和国网络安全法》等多个法律、法规和政策的出台，为满足国家网络安全相关法律法规提出的保障要求，适应新业务、新技术带来变化，《GB/T 20984-2022 信息安全技术 信息安全风险评估方法》（以下简称“2022版“）于2022年4月发布，将于2022年11月1日正式实施，全部代替2007版。

二、新标准的主要变化

名称变更

原名称：《信息安全技术 信息安全风险评估规范》

现在名称：《信息安全技术 信息安全风险评估方法》

风险实施流程

2007版的风险实施流程分为风险评估准备、资产识别、威胁识别、脆弱性识别、已有安全措施确认、风险分析六个阶段。

2022版的实施流程分为评估准备、风险识别、风险分析和风险评价四个阶段。其中资产识别是风险评估的核心环节，将资产识别工作前置，先识别资产，再识别威胁、脆弱性和已有安全措施。如下图所示：

在资产识别过程中增加业务识别

2007版评估标准中，根据资产的表现形式，可将资产分为数据、软件、硬件、服务、人员等类型。

2022版本中，新增业务识别。业务是实现组织发展规划的具体活动，业务识别是风险评估的关键环节。资产按照层次划分为业务资产、系统资产、系统组件和单元资产。资产识别从三个层次进行识别，识别业务资产→识别系统资产→识别系统组件和单元资产，如下图所示：

简化了风险要素关系图

2007版和2022版的风险基本要素相同，均为资产、风险、安全措施、威胁和脆弱性。2022版简化了风险要素关系图，没有在图中体现业务战略、资产价值、安全需求、安全事件、残余风险等与风险基本要素相关的属性，如下图所示：

完善了风险要素的属性

如下表所示：

风险计算

2007版根据安全事件发生的可能性以及安全事件出现后的损失，计算安全事件一旦发生对组织的影响，即风险值。

2022版将风险值分为资产风险值和业务风险值。首先，根据计算出的安全事件发生的可能性以及安全事件造成的损失，计算系统资产风险值。然后，根据业务所涵盖的系统资产风险综合计算得出业务风险值。

信息安全风险评估流程实施图

【风险评估各阶段的输入和输出笔记】

一：准备阶段

评估准备：

输入：《xxx项目服务合同》《xxx项目实施任务单》

输出：《xxx项目实施方案》《xxx项目启动会PPT》《xxx项目实施计划》《资产调查问卷》《脆弱性调查问卷》《现场配合人员名单》《文档交接单》

二：识别阶段

资产识别：

输入：《信息系统资产清单》，《重要资产清单》

输出：《xxx项目资产识别清单》《重要资产三性赋值表》

《信息资产业务影响分析表》

威胁识别：

输入：《威胁访谈记录表》《IDS 日志分析表》《威胁参考表》

《xxx项目威胁识别表》《威胁等级判定表》

输出：《威胁赋值列表》

脆弱性识别的输入：

《技术脆弱性访谈表》《管理脆弱性访谈表》《渗透测试申请表》

《xxx项目渗透测试方案》《脆弱性赋值列表》《网络结构分析表》

脆弱性识别的输出：

《信息系统数据库安全检查报告》

《网络设备、安全设备检查报告》

《信息安全管理落实情况检查报告》

《信息系统脆弱性分析报告》《xxx项目渗透测试报告》

《xxx项目漏扫报告》《xxx项目安全检查报告》

《xxx项目调研访谈报告》

...............................

三．分析阶段

已有安全措施确认：

输入：

《xxx项目已有安全措施确认表》

风险分析：

输出：《xxx项目风险评估报告》《风险评估综合报告》

《xxx项目阶段性汇报总结》 《风险评估和处理表》

《信息习题威胁分析报告》《xxx项目安全加固建议方案》

《xxx项目阶段总结纪要》《风险处理计划》

........................

四．处置阶段

风险处置和残余风险：

输入：

《xxx项目安全加固建议方案》

输出：

《Xxx风险评估报告》

《xxx项目信息安全风险复查报告》

《xxx项目信息安全漏洞复查报告》

《xxx项目信息安全检查复查报告》

五．结束阶段

输入：

《xxx项目所有实施工程文件》

输出：

《xxx项目验收报告》

《xxx项目验收汇报》

《风险评估报告及整改建议》

风险评估实施步骤

一 风评准备

1.确定风险评估的目标

2.确定风险评估的范围

3.组建适当的评估管理与实施团队

4.进行系统调研，采取问卷调查、现场询问等方式，至少包括以下内容：

• 业务战略及管理制度

• 主要的业务功能和要求

• 网络结构与网络环境，包括内部链接好外部链接

• 系统边界

• 主要的硬件、软件

• 数据和信息

• 系统和数据的敏感性

• 支持和使用系统的人员

5.制定方案，为之后的风评实施提供一个总体计划，至少包括：

• 确定实施评估团队成员

• 工作计划及时间进度安排

6.获得最高管理者对风险评估工作的支持

二 资产识别

资产的价值是按照资产在保密性、完整性和可用性上达到的程度或者其未达到时造成的影响程度来决定

1.资产分类

根据资产的表现形式，可将资产分为数据、软件、硬件、文档、服务、人员等类

2.资产的赋值（五个等级：可忽略、低、中等、高、极高）

• 保密性赋值：根据资产在保密性上的不同要求，对应资产在保密性上应达成的不同程度或者密保性缺失时对整个组织的影响，划分为五个不同的等级

• 完整性赋值：根据资产在完整性上的不同要求，对应资产在完整性上缺失时对整个组织的影响，划分为五个不同的等级

• 可用性赋值：根据资产在可用性上的不同要求，对应资产在可用性上应达成的不同程度，划分为五个不同的等级

3.资产重要性等级（五个等级：很低、低、中、高、很高）

资产价值应依据资产在机密性、完整性和可用性上的赋值等级，经过综合评定得出。综合评定方法，可以根据组织自身的特点，选择对资产机密性、完整性和可用性最为重要的一个属性的赋值等级作为资产的最终赋值结果，也可以根据资产机密性、完整性和可用性的不同重要程度对其赋值进行加权计算而得到资产的最终赋值。加权方法可根据组织的业务特点确定。

三 威胁识别

威胁是一种对组织及其资产构成潜在破坏的可能性因素，是客观存在的。

1.威胁的分类

根据威胁的来源，威胁可分为软硬件故障、物理环境威胁、无作为或操作失误、管理不到位、恶意代码和病毒、越权或滥用、黑客攻击技术、物理攻击、泄密、篡改、抵赖

2.威胁的赋值（五个等级：很低、低、中、高、很高）

判断威胁出现的频率是威胁识别的重要工作，评估者应根据经验和（或）有关的统计数据来进行判断。在风险评估过程中，还需要综合考虑以下三个方面，以形成在某种评估环境中各种威胁出现的频率：

（1) 以往安全事件报告中出现过的威胁及其频率的统计；

（2) 实际环境中通过检测工具以及各种日志发现的威胁及其频率的统计；

（3) 近一两年来国际组织发布的对于整个社会或特定行业的威胁及其频率统计，以及发布的威胁预警。

四 脆弱性识别

脆弱性是对一个或多个资产弱点的总称。脆弱性识别也称为弱点识别，弱点是资产本身存在的，如果没有相应的威胁发生，单纯的弱点本身不会对资产造成损害。而且如果系统足够强健，再严重的威胁也不会导致安全事件，并造成损失。即，威胁总是要利用资产的弱点才可能造成危害。

资产的脆弱性具有隐蔽性，有些弱点只有在一定条件和环境下才能显现，这是脆弱性识别中最为困难的部分。需要注意的是，不正确的、起不到应有作用的或没有正确实施的安全措施本身就可能是一个弱点。

脆弱性识别将针对每一项需要保护的资产，找出可能被威胁利用的弱点，并对脆弱性的严重程度进行评估。脆弱性识别时的数据应来自于资产的所有者、使用者，以及相关业务领域的专家和软硬件方面的专业等人员。

脆弱性识别所采用的方法主要有：问卷调查、工具检测、人工核查、文档查阅、渗透性测试等。

1.脆弱性识别

脆弱性识别主要从技术和管理两个方面进行，技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题。管理脆弱性又可分为技术管理和组织管理两方面，前者与具体技术活动相关，后者与管理环境相关。

2.脆弱性赋值（五个等级：很低、低、中、高、很高）

可以根据对资产损害程度、技术实现的难易程度、弱点流行程度，采用等级方式对已识别的脆弱性的严重程度进行赋值。脆弱性由于很多弱点反映的是同一方面的问题，应综合考虑这些弱点，最终确定这一方面的脆弱性严重程度。

对某个资产，其技术脆弱性的严重程度受到组织的管理脆弱性的影响。因此，资产的脆弱性赋值还应参考技术管理和组织管理脆弱性的严重程度。

五 已有安全措施的确认

组织应对已采取的安全措施的有效性进行确认，对有效的安全措施继续保持，以避免不必要的工作和费用，防止安全措施的重复实施。对于确认为不适当的安全措施应核实是否应被取消，或者用更合适的安全措施替代。

六 风险分析

1.风险计算方法

安全事件发生的可能性 = L(威胁出现频率，脆弱性)

安全事件的损失 = F(资产重要程度，脆弱性严重程度)

风险值 = R(安全事件发生的可能性，安全事件的损失)

评估者可根据自身情况选择相应的风险计算方法计算风险值。如矩阵法或相乘法，通过构造经验函数，矩阵法可形成安全事件发生的可能性与安全事件的损失之间的二维关系；运用相乘法可以将安全事件发生的可能性与安全事件的损失相乘得到风险值。

2.风险结果判定（五个等级：很低、低、中、高、很高）

组织应当综合考虑风险控制成本与风险造成的影响，提出一个可接受风险阈值，

七 风险评估文件记录

1、风险评估文件记录的要求

记录风险评估过程的相关文件，应该符合以下要求（但不仅限于此）：

（1）确保文件发布前是得到批准的；

（2）确保文件的更改和现行修订状态是可识别的；

（3）确保在使用时可获得有关版本的适用文件；

（4）确保文件的分发得到适当的控制；

（5）防止作废文件的非预期使用，若因任何目的需保留作废文件时，应对这些文件进行适当的标识。

对于风险评估过程中形成的相关文件，还应规定其标识、储存、保护、检索、保存期限以及处置所需的控制。相关文件是否需要以及详略程度由管理过程来决定。

2、风险评估文件

风险评估文件包括在整个风险评估过程中产生的评估过程文档和评估结果文档，包括（但不仅限于此）：

（1）风险评估计划：阐述风险评估的目标、范围、团队、评估方法、评估结果的形式和实施进度等；

（2）风险评估程序：明确评估的目的、职责、过程、相关的文件要求，并且准备实施评估需要的文档；

（3）资产识别清单：根据组织在风险评估程序文件中所确定的资产分类方法进行资产识别，形成资产识别清单，清单中应明确各资产的责任人/部门；

（4）重要资产清单：根据资产识别和赋值的结果，形成重要资产列表，包括重要资产名称、描述、类型、重要程度、责任人/部门等；

（5）威胁列表：根据威胁识别和赋值的结果，形成威胁列表，包括威胁名称、种类、来源、动机及出现的频率等；

（6）脆弱性列表：根据脆弱性识别和赋值的结果，形成脆弱性列表，包括脆弱性名称、描述、类型及严重程度等；

（7）已有安全措施确认表：根据已采取的安全措施确认的结果，形成已有安全措施确认表，包括已有安全措施名称、类型、功能描述及实施效果等；

（8）风险评估报告：对整个风险评估过程和结果进行总结，详细说明被评估对象，风险评估方法，资产、威胁、脆弱性的识别结果，风险分析、风险统计和结论等内容；

（9）风险处理计划：对评估结果中不可接受的风险制定风险处理计划，选择适当的控制目标及安全措施，明确责任、进度、资源，并通过对残余风险的评价确保所选择安全措施的有效性；

（10）风险评估记录：根据组织的风险评估程序文件，记录对重要资产的风险评估过程。

3、评估内容

重要服务器的安全配置 登录安全检测；用户及口令安全检测；共享资源安全检测；系统服务安全检测；系统安全补丁检测；日志记录审计检测；木马检测。

安全设备

包括防火墙、入侵检测系统、网闸、防病毒、桌面管理、审计、加密机、身份鉴别等；查看安全设备的部署情况。查看安全设备的配置策略；查看安全的日志记录；通过漏洞扫描系统对安全进行扫描。通过渗透性测试检安全配置的有效性。

路由器

检查操作系统是否存在安全漏洞；配置方面，检测端口开放、管理员口令设置与管理、口令文件安全存储形式、访问控制表；是否能对配置文件进行备份和导出；关键位置路由器是否有冗余配置。

物理环境 包括 UPS、变电设备、空调、门禁等。

交换机 检查安全漏洞和补丁的升级情况，各VLAN间的访问控制策略；口令设置和管理，口令文件的安全存储形式；配置文件的备份。

安全管理制度 检查安全管理制度是否完善，是否合理；是否有根据实际情况定期进行修编。

4、风险评估流程

风险评估流程包括系统调研、资产识别、威胁识别、脆弱性识别（包括现有控制措施确认）、风险综合分析以及风险控制计划六个阶段。

系统调研是熟悉和了解组织和系统的基本情况，对组织IT战略，业务目标、业务类型和业务流程以及所依赖的信息系统基础架构的基本状况和安全需求等进行调研和诊断。

资产识别是对系统中涉及的重要资产进行识别，并对其等级进行评估，形成资产识别表。资产信息至少包括：资产名称、资产类别、资产价值、资产用途、主机名、IP地址、硬件型号、操作系统类型及版本、数据库类型及版本、应用系统类型及版本等。

威胁识别是对系统中涉及的重要资产可能遇到的威胁进行识别，并对其等级进行评估，形成威胁识别表。识别的过程主要包括威胁源分析、历史安全事件分析、实时入侵事件分析几个方面。

脆弱性识别是对系统中涉及的重要资产可能被对应威胁利用的脆弱性进行识别，并对其等级进行评估，形成脆弱性识别表。脆弱性识别又具体分为物理安全、网络安全、主机系统安全、应用安全、数据安全、安全管理六个方面的内容。

风险综合分析是根据对系统资产识别，威胁分析，脆弱性评估的情况及收集的数据，定性和定量地评估系统安全现状及风险状况，评价现有保障措施的运行效能及对风险的抵御程度。结合系统的IT战略和业务连续性目标，确定系统不可接受风险范围。

风险控制计划是针对风险评估中识别的安全风险，特别是不可接受风险，制定风险控制和处理计划，选择有效的风险控制措施将残余风险控制在可接受范围内。

5、信息安全风险评估项目阶段

一、项目启动

1．双方召开项目启动会议，确定各自接口负责人。

==工作输出

1．《业务安全评估相关成员列表》（包括双方人员）

2．《报告蓝图》

==备注

1．务必请指定业务实施负责人作为项目接口和协调人；列出人员的电话号码和电子邮件帐号以备联络。

二、确定工作范围

1．请局方按合同范围提供《资产表》，也即扫描评估范围。

2．请局方指定需进行人工评估的资产，确定人工评估范围。

3．请局方给所有资产赋值（双方确认资产赋值）

4．请局方指定安全管理问卷调查（访谈）人员，管理、员工、安全主管各一人。

==工作输出

1．《会议备忘》（要求签字确认）

2．《资产表》（包括人工评估标记和资产值）

==备注

1．资产数量正负不超过15%；给资产编排序号，以方便事后检查。

2．给人工评估资产做标记，以方便事后检查。

3．资产值是评估报告的重要数据。

三、制定整体实施计划

1．按照工作范围制定整个项目的总体计划，包括现场准备、扫描评估、人工评估、问卷调查、加固实施等各阶段。

2．与接口负责人共同确定针对各相关资产进行管理评估，入侵检测系统实施扫描评估、人工评估的日期和时间段。

==工作输出

1．《总体项目进度甘特图》

2．《评估阶段工作计划表》

==备注

1．扫描评估、人工评估、问卷调查在可能的情况下可以同期进行；《工作计划表》交项目经理参考，以便配合。

2．确定日期以便于制定工作计划；确定时间段（白天、晚间、夜间甚至钟点）对加固阶段详细计划的确定更重要。

四、管理评估阶段

1．提供现有的安全管理规范和管理制度。

2．提供对应业务的系统信息，包括拓扑图、业务功能说明、业务流程说明（如能提供系统设计方案更佳）。

3．对应业务的管理、员工、安全主管进行访谈。

4．对现有安全管理制度的实行情况进行审计。

5．对评估中需要的其他策略文档进行收集。

==工作输出

1．《资料接收单》

2．《安全访谈记录单》

==备注

1．对提供的电子或纸质文档进行严格的保密和内部使用控制，资料接收时需要填写《资料接收单》并签字。

2．访谈记录单内容需要与被访谈人进行确认及签字。

3．对于发现的重要情况，均须与对应配合人员进行确认，重大内容需要双方签字。

五、技术评估阶段

1．提出扫描申请

2．每日制定第二天的日工作计划，包括扫描评估、人工评估、问卷调查等详细计划。

3．进行扫描评估（每次扫描完成后，应有扫描确认，需用户方签字）。

4．进行人工评估（每次人工评估完成后，应有人工评估确认，需用户方签字）。

6．双方协商布置在网络关键节点上布置入侵检测系统（一般放置3天）。

7．在整个项目技术部分基本结束时，双方协商进行渗透测试。

8．每日进行记录和总结。

9．逢周末进行周工作总结。

==工作输出

1．《扫描申请报告》/《原始弱点报告》

2．《日工作计划》

3．《工作确认单》

4．评估数据

5．《入侵检测系统布置申请报告》《入侵检测系统日志分析报告》

6．《渗透测试申请报告》/《渗透测试报告》

7．《日工作记录》

8．《周工作总结》

==备注

1．签字确认。

2．清晰明确的日工作计划才能使当日工作有条不紊。

3．工作确认单是你工作完成的凭证。

4．收集好评估数据，并妥善保存。

5．签字，注意端口镜像原则上必须由客户进行配置。

6．签字，并重新确认实施时间与实施范围，有可能的情况下，需要甲方全程陪同。

7．每日总结并检查当日工作是否完成，如未完成，要考虑后期计划的调整。

六、数据整理

1．工作整理。

2．撰写评估报告。

3．撰写加固方案和安全建议。

==工作输出

1．《评估阶段工作总结》

2．《网络安全风险评估报告》

3．《网络安全建议报告》

七、项目验收

1．提交项目成果。

2．报告解读

3．培训