企业网络与信息安全风险评估规范目录第一章总则 (3)第二章风险评估原则 (5)第三章风险评估模型 (5)第四章风险评估策略 (9)第五章风险评估过程框架 (11)第六章风险评估手段 (15)第七章文档要求 (16)第八章项目管理 (17)第一章总则第一条网络与信息安全风险评估是网络与信息安全管理的基础性工作，是实现网络与信息系统安全水平持续改进的重要手段。

为了指导、规范和促进各单位开展网络与信息安全风险评估工作，加强网络与信息安全的全过程动态管理，进一步提高网络与信息安全保障水平,特制定本规范。

第二条网络与信息安全风险评估是对企业现有的网络、信息系统、业务流程、安全策略等进行风险分析，并根据风险分析结论提出安全建议的过程。

第三条通过对网络与信息系统（以下简称信息系统）进行安全评估，至少应该达到以下目标：（一）掌握信息系统的安全现状和面临的安全风险；（二）明确信息系统面对的主要风险以及这些风险产生的原因；（三）为信息系统的建设、运行、维护、使用和改进提供安全性建议。

（四）改进与完善企业现有安全策略，实施有效的信息系统风险管理，加强重要信息系统的安全保障。

第四条本规范适用于国家电网公司系统各单位，用于指导各单位信息安全评估项目的开展和实施。

第五条名词解释使命：一个组织通过信息化实现的工作任务。

信息资产：在信息化建设过程中积累起来的信息系统、信息数据、生产或服务能力、人员能力和应得的信誉。

价值：指信息资产对信息系统的重要程度，以及对信息系统为完成组织使命的重要程度。

威胁：信息资产可能受到的来自内部和来自外部的安全侵害。

脆弱性：信息资产及其防护措施在安全方面的不足，通常也称为漏洞。

风险：是指人为或自然的威胁利用信息系统存在的脆弱性，从而导致信息安全事件发生的可能性及其影响。

残余风险：采取了安全防护措施，提高了防护能力后，仍然可能存在的风险。

安全措施：为对付威胁，减少脆弱点，保护资产，限制意外事件的影响，检测和响应意外事件，促进灾难恢复和打击信息犯罪而采取的各种实践、规程和机制统称为安全措施。

安全防护需求：指为保证信息系统能够正常使用，在信息安全防护措施方面的要求。

第二章风险评估原则第六条完整性原则根据“木桶原理”，为了保证评估取得预期结果，应当综合评估信息系统对象本身及其相关的安全措施、人员、管理等方面，技术层面的评估与管理层面的评估相结合，全面反映信息系统安全状态，确保评估范围的完整、评估内容的全面和评估流程的完整。

第七条标准化原则认真遵循有关国际和国内标准制定评估要求、编写评估方案、安排评估流程，严格按照预先定义的实施方案开展安全评估和进行评估工作的管理，确保评估定义过程、操作流程和操作方法的规范性。

第八条最小影响原则信息安全风险评估的部分工作内容可能会对信息系统的运行带来负面影响。

必须设计合理与灵活的风险评估实施方案，对可能造成这些影响的工作内容进行有效管理，把评估对信息系统与业务可能造成的影响降低到最低限度。

第三章风险评估模型第九条风险关系模型风险关系模型以风险为中心描述了信息资产所面临的风险、漏洞、威胁及其相应的复杂关系，用以指导风险评估和风险分析的实施。

模型中各要素及其关系如图一所示：图一风险关系模型图一对风险要素间的关系进行了动态的描述，反映了资产所面临的安全风险与其它各个要素之间相互作用的内在联系，相互间的主要关系如下：（一）资产具有价值，同时资产存在着漏洞；（二）漏洞使资产暴露在威胁面前，漏洞越大资产暴露的可能性就越大；（三）威胁利用信息系统存在的漏洞（如：物理环境、网络服务、主机系统、应用系统、安全相关人员、安全策略等）对信息系统进行渗透和攻击；（四）资产的暴露（例如系统高级管理人员由于不小心而导致重要机密信息的泄露）使得威胁有可能对资产的价值产生影响（包括直接和和间接的影响）；（五）风险就是威胁利用脆弱点使资产暴露而对资产价值产生的影响的可能性，风险的大小由资产价值的重要性和敏感性所决定；（六）对信息系统安全风险的分析，导致信息系统的安全需求的提出；（七）根据不同的安全需求选择适当的安全措施，制定合理的信息安全解决方案对风险进行控制，进而降低安全风险，防范威胁。

第十条风险要素属性基本风险要素的属性决定了各要素对风险产生作用情况。

对各风险要素的属性进行分析，将可明确风险是如何由这些要素来决定的。

（一）威胁对信息系统有潜在的破坏，作为潜在的威胁，其发生具有可能性。

如果一个威胁发生了，它会以某种方式导致发生有害事件，并产生不利影响，因此威胁具有影响。

（二）漏洞越严重，就越容易被威胁利用，进而增加资产面临的风险，因此漏洞具有严重性（被利用的难易程度）。

（三）信息资产具有价值，这种价值体现在当信息资产泄漏、被破坏或不可使用时，会造成资产的拥有者利益和信誉上的损失。

因此，资产通过价值间接的具有机密性、完整性和可用性三个属性。

（四）风险是未发生并且有可能发生的事物，因此风险具有可能性。

风险一旦发生将对资产造成影响，因此风险后果具有影响性。

（五）根据对风险要素间动态关系的分析可以看到：风险是从威胁发起的，威胁发生的可能性越大，资产面临的风险越大；威胁总要利用漏洞来对资产价值产生影响，漏洞越严重风险越大；另外，在威胁可能性和漏洞严重程度一定的情况下，资产的价值越高，其面临的风险也越大。

因此，风险的可能性是由资产面临的威胁的可能性和资产存在的漏洞的严重性决定的，而风险产生的影响是由资产的价值和威胁的影响决定的。

第十一条风险的计算根据风险关系和风险要素属性，信息资产风险的可能性是面临的威胁的可能性和资产存在的薄弱性的函数，而风险的后果是资产的价值和威胁的影响的函数。

而量化的风险值是风险的可能性与风险的后果的函数。

第四章风险评估策略第十二条信息安全风险评估作为信息安全风险管理的基本内容，是信息安全管理策略的重要内容。

在进行任何风险评估工作前，应根据信息安全管理工作的具体情况和要求选择风险评估策略，并在此策略的指导下对本单位的信息系统进行有组织的评估。

第十三条信息安全风险评估策略包括安全审计、简单风险评估和专业风险评估三种方法。

这三种评估方法之间的根本差别在于评估的范围和深度不同。

第十四条安全审计。

安全审计的方式适用于在已经建立了信息安全体系后进行信息安全运行考核的情况。

安全审计的内容为自定义的信息安全考核与审计标准、上级单位要求的安全审计内容或信息系统安全要求等内容。

安全审计是对现行信息安全体系落实和执行情况的符合性检查，主要针对信息安全体系运行、维护和日常管理制度执行情况等方面的检查。

各单位可根据自己信息安全体系的实施的情况对审计内容进行定义、自行进行数据统计和分析。

在此基础上，对本单位信息安全体系中的管理和技术措施提出改进建议。

第十五条简单风险评估简单风险评估是为了明确在短期内（半年至一年）信息系统面临的安全风险，由各单位通过人工和评估工具对信息系统进行范围有限、内容典型的安全性检查，是自评估较常采用的一种形式。

其评估范围可以为某一信息系统，也可以针对单个的主机或网络设备。

简单风险评估的流程，根据实际情况可以适当精简。

第十六条专业风险评估专业风险评估是在有关专家组或专业信息安全服务机构的技术支持下进行的风险评估。

专业风险评估通过全面的、大范围的抽样来保证评估的完整性。

在信息系统发生大的变化、信息安全体系运行较长时间（二到三年）后以及制定信息安全专题规划前需要进行专业风险评估。

通过专业风险评估，可以客观和准确的掌握当前信息系统的面临的风险情况，为进一步的完善信息安全体系和系统改造提供技术上的支持。

专业风险评估必须保证范围的完整和数据分析深度。

在完成现场的风险数据采集后，组织有关专家或机构进行详细的风险分析，并提供全面的安全建议。

第五章风险评估过程框架第十七条基本评估流程信息安全风险评估主要是对各风险要素属性的识别、统计、计算和分析的过程，包括确定评估范围、资产评估、风险分析、风险控制四个步骤。

风险分析过程又分为：威胁的识别与赋值、漏洞的发现与赋值、现有安全措施识别、整体风险的计算与评价。

信息安全风险评估框架如图 2 所示：图2 信息安全风险评估过程框架（一）确定评估范围主要从以下四个方面确定评估的范围：1、主机和信息网络等基础设施包括通信网络、调度数据网络、管理信息网络、系统主机、机房辅助设备的架构、边界、配置和管理等。

2、系统软件、应用系统及服务包括系统软件的配置和管理，网络应用服务的配置和管理，生产、经营、管理、服务和决策各方面的业务应用信息系统的安全设计、业务流程与接口以及远行、维护、使用的安全管理。

3、现有的安全技术措施包括防火墙、防病毒、入侵检测及其它安全管理系统，着重是对这些系统的配置和管理进行评估。

4、现有的安全管理措施包括相关安全管理机构、岗位职责、人员配备、安全管理制度、信息系统相关人员的安全意识等。

评估范围的选取要根据具体评估工作的要求进行，确保选定的评估范围是完整的和有效的，并且通过对选定范围的评估能够达到评估工作的目标。

（二）资产评估1、资产识别资产识别是对信息资产分类标记的过程，可以参照ISO/IEC 13334 和ISO/IEC 17799 等标准中对信息资产的描述和定义。

2、资产赋值根据资产属性定义，信息资产分别具有机密性、完整性和可用性三方面的属性。

通过综合考虑资产在三个属性方面的价值体现能够对一个资产的价值进行完整的估定。

不同资产在这三方面赋值会有不同，从而反映出资产对安全措施需求的不同。

（三）风险分析1、威胁评估通过技术手段（例如入侵检测）、统计数据和经验来确定信息系统的威胁，一方面确定对应信息资产所面临的威胁源，另一方面要确定威胁的严重程度和发生的频率。

对威胁的赋值要综合考虑威胁的影响和可能性。

2、脆弱性评估对于信息系统脆弱性的评估分为技术漏洞和管理漏洞两个方面。

对于技术漏洞的评估主要采用网络扫描、主机安全人工审核等方式，管理方面的漏洞主要通过人工访谈和调查问卷来发现。

漏洞的赋值参照国际通用的赋值方法，在实际工作中可根据不同信息系统的情况对漏洞的严重性和被利用的可能性进行必要的调整。

脆弱性的严重级别随着时间的推移有可能发生变化。

当某一漏洞随着技术的突破，变得更加容易被利用或产生更为严重的后果时，漏洞的风险等级就会被提升。

另外，对于不同的威胁源，漏洞的严重程度也会不同。

3、现有安全措施的识别现有安全措施评估包括对当前已部署的安全措施和规划中的安全措施的评估两项内容。

通过对现有安全措施的评估识别出现已部署的和已经规划的安全防护措施是否合理，以及这些安全措施的使用是否达到了部署的目的。

对现有和规划中的安全措施进行列表，并审核它们的执行和使用状况是现有安全措施评估的主要方法。

4 整体风险计算与评价在完成资产识别、威胁分析和脆弱性评估后，按照风险计算方法计算出不同资产面临的风险。