◆甘清云

《信息安全风险评估规范》修订思考

◆甘清云

（中国直升机设计研究所 天津 300300）

2018年1月，《信息安全技术 信息安全风险评估规范（修订版）》（征求意见稿）对外公示进行意见征集。文章介绍了规范修订的主要内容、进一步完善的思考。

信息安全风险评估规范；修订

0 引言

《信息安全技术 信息安全风险评估规范》（GB/T 20984-2007）于2007年发布实施以来在信息安全领域起到了重要的作用，被广泛应用于各个行业和领域的信息安全风险评估工作中。标准颁布已有十余年，GB/T 20984-2007中部分内容已不适宜当前的信息安全新形势和新环境，因此需要对GB/T 20984-2007进行修订完善。

1 《信息安全风险评估规范》简介

《信息安全技术 信息安全风险评估规范》（GB/T 20984-2007）于2007年6月14日发布，2007年11月1日实施。规范提出了风险评估的基本概念、要素关系、分析原理、实施流程和评估方法，以及风险评估在信息系统生命周期不同阶段的实施要点和工作形式。规范章节除范围、规范性引用文件、术语和定义外，分为：风险评估框架及流程、风险评估实施、信息系统生命周期各阶段的风险评估、风险评估的工作形式。规范附录为风险的计算方法和风险评估的工具。

2016年，经国标委批准，全国信息安全标准化技术委员会（SAC/TC260）2016年第二次全会讨论通过，研究修订《信息安全技术 信息安全风险评估规范》。2018年1月形成《信息安全技术 信息安全风险评估规范（修订版）》（征求意见稿）。

2 规范修订的主要内容

2.1 风险评估框架及流程中的修订

GB/T 20984-2007中风险评估要素为：资产、威胁、脆弱性、安全措施、风险。这次修订风险评估要素变为：业务、资产、威胁、脆弱性、安全措施和风险。最直接也最明显的变化就是增加了业务这个要素，由原来的基于资产的评估调整为基于业务保护的风险评估，实际了也充分体现了我们不是为了安全而安全，安全的终极目标还是为了保障业务安全。

相应的在评估流程中增加了组织发展战略识别与分析、业务识别、资产/业务/发展战略关联分析。把风险处理作为一个章节从风险评估实施章节中独立出来，体现了风险评估和风险处理分别是风险管理全生命周期中2个不同的阶段。

2.2 风险评估实施中的修订

风险评估实施章节主要是新增了发展战略识别、业务识别、战略/业务/资产分析3个部分。发展战略识别的内容包括组织的属性与职能定位、发展目标、业务规划和竞争关系。业务识别内容包括业务的定位、业务关联性识别和业务完整性。业务识别是风险评估的关键环节。业务识别与战略识别关系紧密，相互补充。战略/业务/资产关联分析的重点是战略对业务的依赖性分析、业务对资产的依赖性关系和资产三大属性（机密性、完整性、可用性）丧失对业务/战略影响分析。

2.3 增加风险处理

风险处理章节分风险接受准则、风险处理计划、残余风险评估。在规范中风险处理章节篇幅较少，个人认为主要的原因在于关于风险处理有专门的标准《信息安全技术 信息安全风险处理实施指南》（GB/T 33132-2016）来详细介绍。

2.4 增加风险分析示例

由基于资产的评估调整为基于业务的评估后，风险分析到底应该怎么实际落地，在附录部分增加了风险分析示例。示例从要素识别、脆弱性和已有安全措施关联分析、威胁和脆弱性关联分析、使用矩阵法计算风险4个方面描述了风险分析的实际操作方法，具有非常强的指导性和针对性，值得参考。

3 规范进一步完善的思考

3.1 需要从信息安全风险管理标准体系的高度谋划其他规范的修订

目前，信息安全风险管理标准体系主要包括《信息安全技术 信息安全风险评估规范》（GB/T 20984-2007）、《信息安全技术 信息安全风险管理指南》（GB/Z 24364-2009）、《信息安全技术 信息安全风险评估实施指南》（GB/T 31509-2015）、《信息安全技术 信息安全风险处理实施指南》（GB/T 33132-2016）、《信息技术 安全技术 信息安全风险管理》（GB/T 31722-2015 IDT ISO/IEC 27005:2008）。

《信息安全技术 信息安全风险评估实施指南》（GB/T 31509-2015）是《信息安全技术 信息安全风险评估规范》（GB/T 20984-2007）的实施细则，既然GB/T 20984-2007已经在修订，所以应该同步考虑GB/T 31509-2015的同步修订，否则就存在两个标准之间 “打架”。

3.2 信息安全风险管理标准之间的界面还存在不清晰现象

目前的信息安全风险管理标准体系中既有我国自研的国家标准，也有等同采用的国际标准；既有顶层一些的规范，也有偏向操作落地层面的实施指南；既有多年前编制的标准，也有近几年编制的标准；部分标准之间还是存在不少重复的内容，可以做整合。比如GB/T 31509-2015和正在修订的《信息安全技术 信息安全风险评估规范》就可以整合为一个标准。

3.3 信息安全与网络安全

网络空间成为继陆地、海洋、天空、外空之外的第五空间。随着网络空间地位的日益提升，网络空间已成为各国家、地区间安全博弈的新战场。“没有网络安全就没有国家安全，没有信息化就没有现代化”。《中华人民共和国网络安全法》、《国家网络空间安全战略》相继出台。今年6月公安部会同有关部门起草的《网络安全等级保护条例（征求意见稿）》向社会公开征求意见，该保护条例将取代2007年发布的《信息安全等级保护管理办法》。除了一个是条例另一个是管理办法的区别外，其中一个很大的变化在于将“信息安全”改为了“网络安全”。此次在修订《信息安全风险评估规范》时是否也可以考虑改为《网络安全风险评估规范》呢？这个问题值得标准修订者思考。

4 结束语

2018年1月《信息安全技术 信息安全风险评估规范（修订版）》（征求意见稿）面向社会进行意见征集，规范编制工作组收到了不少的意见建议，相信他们一定会吸纳好的意见建议，打磨出一份高质量的网络安全风险评估规范，为提升网络安全风险评估能力做出积极贡献。

[1]范红.国家信息安全风险评估标准及试点工作进展介绍[J].网络安全技术与应用,2005.

[2]梁洪涛，王大萌，黄俊强，马遥.信息安全风险评估规范在电子政务中的应用[J].信息技术,2007.

[3]沈浩，杜彦辉，孙言.信息安全风险评估标准研究[J].网络安全技术与应用,2009.

[4]魏克. 阅读标准 参与实践 信息安全风险评估待提高[J].中国教育网络,2010.

[5]谢宗晓，刘立科.信息安全风险评估/管理相关国家标准介绍[J].中国标准导报,2016.