GB／T 20984-2022  信息安全技术 信息安全风险评估方法

风险评价准则应满足以下要求： 1）符合组织的安全策略或安全需求； 满足利益相关方的期望； 3） 符合组织业务价值。 建立风险评价准则的目的包括但不限于： 4）对风险评估的结果进行等级化处理； 5） 能实现对不同风险的直观比较； 6）能确定组织后期的风险控制策略。 g） 制定评估方案。 h）多 获得最高管理者支持。评估方案需得到组织最高管理者的支持和批准

资产识别是风险评估的核心环节。资产接照层次可划分为业务资产、系统资产、系统组件和单 ，如图3所示。因此资产识别应从三个层次进行识别

5.2.1.2业务识别

污水处理厂标准规范范本5.2.1.2.1识别内客

业务是实现组织发展规划的具体活动，业务识别是风险评估的关键环节。业务识别内容包括业务 的属性、定位、完整性和关联性识别。业务识别主要识别业务的功能、对象、流程和范围等。业务的定位 主要识别业务在发展规划中的地位。业务的完整性主要识别其为独立业务或非独立业务。业务的关联 性识别主要识别与其他业务之间的关系。表1提供了一种业务识别内容的参考

5.2.1.2.2业务重要性赋值

应根据业务的重要程度进行等级划分，并对其重要性进行赋值。表2提供了一种业务重要 的参考。

表2业务重要性赋值表

业务的关联性会对业务的重要性造成影响。若被评估业务与高于其重要性赋值的业务具有紧密 系，则该业务重要性赋值应在原赋值基础上进行赋值调整。附录D中表D.1给出了一种存在紧 业务影响时的业务重要性赋值调整方法

5.2.1.3系统资产识别

5.2.1.3.1识别内容

系统资产识别包括资产分类和业务承载性识别两个方面。表3给出了系统资产识别的主要内容 系统资产分类包括信息系统、数据资源和通信网络，业务承载性包括承载类别和关联程度。

5.2.1.3.2系统资产价值赋值

系统资产价值应依据资产 结合业务承载性、业务重要性，进行 算，并设定相应的评级方法进行价值等级划分， ，等级越高表示资产越重要。表4中给出了系统资 直等级划分的描述。资产保密性、完整性、可用性赋值以及业务承载性赋值方法见附录D。

表4系统资产价值等级表

5.2.1.4系统组件和单元资产识别

5.2.1.4.1识别内容

系统组件和单元资产应分类识别，系统组件和单元资产分类包括系统组件、系统单元、人力资源利 其他资产。表5给出了系统组件和单元资产识别的主要内容描述

GB/T20984—2022

表5系统组件和单元资产识别表

5.2.1.4.2系统组件和单元资产价值赋值

系统组件和单元资产价值应依据其保密性、完整性、可用性赋值进行综合计算，并设定相应的评 进行价值等级划分，等级越高表示资产越重要。表6中给出了系统组件和单元资产价值等级划 述。资产保密性、完整性、可用性赋值方法见附录D。

表6系统组件和单元资产价值等级表

5.2.2.1威胁识别内容

内容包括威胁的来源、主体、种类、动机、时机和频

威胁识别的内容包括威胁的来源、主体、种类、动机、时机和频率。

GB/T209842022

在对威胁进行分类前，应识别威胁的来源。威胁来源包括环境、意外和人为三类，附录E给出了威 胁识别的参考方法。表E.1给出了一种威胁来源的分类方法。 根据威胁来源的不同，威胁可划分为信息损害和未授权行为等威胁种类。表E.2给出了一种威胁 种类划分的参考。 威胁主体依据人为和环境进行区分，人为的分为国家、组织团体和个人，环境的分为一般的自然灾 害、较为严重的自然灾害和严重的自然灾害。 威胁动机是指引导、激发人为威胁进行某种活动，对组织业务、资产产生影响的内部动力和原因。 威胁动机可划分为恶意和非恶意，恶意包括攻击、破坏、窃取等，非恶意包括误操作、好奇心等。表E.3 给出了一种威胁动机分类的参考。 威胁时机可划分为普通时期、特殊时期和自然规律。 威胁频率应根据经验和有关的统计数据来进行判断，综合考虑以下四个方面，形成特定评估环境中 各种威胁出现的频率： a）以往安全事件报告中出现过的威胁及其频率统计； b）实际环境中通过检测工具以及各种日志发现的威胁及其频率统计； c）实际环境中监测发现的威胁及其频率统计； d）近期公开发布的社会或特定行业威胁及其频率统计，以及发布的威胁预警

5.2.2.2威胁赋值

威胁赋值应基于威胁行为，依据威胁的行为能力和频率，结合威胁发生的时机，进行综合计算， 老相应的评级方法进行等级划分，等级越高表示威胁利用脆弱性的可能性越大。表7中给出了威 直等级划分的描述。

威胁能力是指威胁来源完成对组织业务、资产产生影响的活动所具备的资源和综合素质。组织及 业务所处的地域和环境决定了威胁的来源、种类、动机，进而决定了威胁的能力；应对威胁能力进行等级 划分，级别越高表示威胁能力越强，表E.4给出了一种特定威胁行为能力赋值的参考。其中，威胁动机 对威胁能力有调整作用。 威胁的种类和资产决定了威胁的行为。表E.5给出了威胁行为列表的参考，E.6给出了一种资产、 威胁种类、威胁行为关联分析的示例。 威胁出现的频率应进行等级化处理，不同等级分别代表威胁出现频率的高低。等级数值越大，威胁 出现的频率越高。威胁的频率应参考组织、行业和区域有关的统计数据进行判断。表E.7给出了一种 威胁频率的赋值方法。其中，威胁时机对威胁频率有调整作用

5.2.3已有安全措施识别

安全措施可以分为预防性安全措施和保护性安全措施两种。预防性安全措施可以降低威胁利用舱

弱性导致安全事件发生的可能性，保护性 可以减少安全事件发生后对组织或系统造成的影响。 在识别脆弱性的同时，评估人员应对已采取的安全措施的有效性进行确认。安全措施的确认应评 估其有效性，即是否真正地降低了系统的脆弱性，抵御了威胁

5.2.4.1脆弱性识别内容

表8脆弱性识别内容表

脆弱性赋值时包括两部分，一部分是脆弱性被利用难易程度赋值，一部分是影响程度赋值。

5.2.4.2脆弱性被利用难易程度赋值

脆弱性被利用难易程 资产、组件的脆弱性，而是一类具体措施的集合

GB/T 209842022

居脆弱性和已有安全措施识别结果，得出脆弱性被利用难易程度，并进行等级化处理，不同的等 危弱性被利用难易程度高低。等级数值越大，脆弱性越容易被利用。表9给出了脆弱性被利用 度的一种赋值方法。

表9脆弱性被利用难易程度赋值表

5.2.4.3影响程度赋值

影响程度赋值是指脆弱性被威胁利用导致安全事件发生后对资产价值所造成影响的轻重程度分析 并赋值的过程。识别和分析资产可能受到的影响时，需要考虑受影响资产的层面。可从业务层面、系统 层面、系统组件和单元三个层面进行分析。 影响程度赋值需要综合考虑安全事件对资产保密性、完整性和可用性的影响。影响程度赋值采用 等级划分处理方式，不同的等级分别代表对资产影响的高低。等级数值越大，影响程度越高。表10给 出了影响程度的一种赋值方法。

表10影响程度赋值表

组织应在风险识别基础上开展风险分析，风险分析应： a 根据威胁的能力和频率，以及脆弱性被利用难易程度，计算安全事件发生的可能性； b) 根据安全事件造成的影响程度和资产价值，计算安全事件发生后对评估对象造成的损失； c 根据安全事件发生的可能性以及安全事件发生后造成的损失，计算系统资产面临的风险值： d）根据业务所涵盖的系统资产风险值综合计算得出业务风险值。 具体风险计算过程见附录E

5.4.1系统资产风险评价

根据风险评价准则对系统资产风险计算结果进行等级处理。表11给出了一种系统资产风险等 刻分方法。

表11系统资产风险等级划分表

5.4.2业务风险评价

根据风险评价准则对业务风险计算结果进行等级处理，在进行业务风险评价时，可从社会影响和： 响两个层面进行分析。社会影响涵盖国家安全，社会秩序，公共利益，公民、法人和其他组织的合 等方面；组织影响涵盖职能履行、业务开展、触犯国家法律法规、财产损失等方面。表12给出了 于后果的业务风险等级划分方法

表12业务风险等级划分表

表12业务风险等级划分表（续）

5.6风险评估文档记录

5.6.1风险评估文档记录要求

记录风险评估过程的相关文档，应符合以下要求（包括但不限于）： a) 确保文档发布前是得到批准的； b） 确保文档的更改和现行修订状态是可识别的（有版本控制措施）； c 确保文档的分发得到适当控制，并确保在使用时可获得有关版本的适用文档； d) 防止作废文档的非预期使用，若因任何目的需保留作废文档时，应对这些文档进行适当的 标识。 对于风险评估过程中形成的相关文档，还应规定其标识、存储、保护、检索、保存期限以及处置所需 控制。相关文档是否需要以及详略程度由组织的管理者来决定。

5.6.2风险评估文档

风险评估文档是指在风险评估过程中产生的过程文档和结果文档，包括（但不仅限于此）： 电） 风险评估方案：阐述风险评估目标、范围、人员、评估方法、评估结果的形式和实施进度等； b) 资产识别清单：根据组织所确定的资产分类方法进行资产识别，形成资产识别清单（包括业务 资产、系统资产、系统组件和单元资产），明确资产的责任人和责任部门； 重要资产清单：根据资产识别和赋值的结果，形成重要资产列表，包括重要资产名称、描述、类 型、重要程度、责任人、责任部门等； 威胁列表：根据威胁识别和赋值的结果，形成威胁列表，包括威胁来源、种类、威胁行为、能力和 频率等； e 已有安全措施列表：对已采取的安全措施进行识别并形成已有安全措施列表，包括已有安全措 施名称、类型、功能描述及实施效果等； f) 脆弱性列表：根据脆弱性识别和赋值的结果，形成脆弱性列表，包括具体脆弱性的名称、描述、 类型、被利用难易程度及影响程度等； g) 风险列表：根据威胁利用脆弱性导致安全事件的情况，形成风险列表，包括具体风险的名称、描 述等； h) 风险评估报告：对风险评估过程和结果进行总结，详细说明评估对象、风险评估方法、资产、威 胁、脆弱性和已有安全措施的识别结果、风险分析、风险统计和结论等内容； i) 风险评估记录：风险评估过程中的各种现场记录应可复现评估过程，以作为产生歧义后解决问 题的依据。

GB/T 20984—2022

附录A （资料性） 评估对象生命周期各阶段的风险评估

风险评估应贯穿于评估对象生命周期各阶段中。评估对象生命周期各阶段中涉及的风险评估原则 和方法是一致的，但由于各阶段实施内容、对象、安全需求不同，使得风险评估的对象、目的、要求等各方 面也有所不同。在规划设计阶段，通过风险评估以确定评估对象的安全目标；在建设验收阶段，通过风 险评估以确定评估对象的安全目标送成与否；在运行维护阶段，要持续的实施风险评估以识别评估对象 面临的不断变化的风险和脆弱性，从而确定安全措施的有效性，确保安全目标得以实现。因此，每个阶 段风险评估的具体实施应根据该阶段的特点有所侧重的进行。

A.2规划阶段的风险评估

规划阶段风险评估的目的是识别评估对象的业务规划，以支撑评估对象安全需求及安全规划等。 规划阶段的评估应能够描述评估对象建成后对现有业务模式的作用，包括技术、管理等方面，并根据其 作用确定评估对象建设应达到的安全目标。 本阶段评估中，资产、脆弱性不需要识别；威胁应根据未来应用对象、应用环境、业务状况、操作要求 等方面进行分析。评估着重在以下几方面： a）是否依据相关规则，建立了与业务规划相一致的安全规划，并得到最高管理者的认可； b) 是否依据业务建立与之相契合的安全策略，并得到最高安全管理者的认可； c) 系统规划中是否明确评估对象开发的组织、业务变更的管理、开发优先级； d) 系统规划中是否考虑评估对象的威胁、环境，并制定总体的安全方针； 系统规划中是否描述评估对象预期使用的信息，包括预期的信息系统、资产的重要性、潜在的 价值、可能的使用限制、对业务的支持程度等； 系统规划中是否描述所有与评估对象安全相关的运行环境，包括物理和人员的安全配置，以及 明确相关的法规、组织安全策略、专门技术和知识等。 规划阶段的评估结果应体现在评估对象整体规划或项目建议书中

A.3设计阶段的风险评估

设计阶段的风险评估需要根据规划阶段所明确的运行环境、业务重要性、资产重要性，提出安全功 能需求设计阶段的风险评估结果应对设计方案中所提供的安全功能符合性进行判断，作为实施过程风 险控制的依据。 本阶段评估中，应详细评估设计方案中面临威胁的描述，将评估对象使用的具体设备、软件等资产 及其安全功能形成需求列表。对设计方案的评估着重在以下几方面： a) 设计方案是否符合评估对象建设规划，并得到最高管理者的认可； b) 设计方案是否对评估对象建设后面临的威胁进行了分析，重点分析来自物理环境和自然的威 胁，以及由于内、外部入侵等造成的威胁； c) 设计方案中的安全需求是否符合规划阶段的安全目标，并基于威胁的分析，制定评估对象的总 体安全策略； d) 设计方案是否采取了一定的手段来应对可能的故障； 设计方案是否对设计原型中的技术实现以及人员、组织管理等方面的脆弱性进行评估，包括设 14

计过程中的管理脆弱性和技术平台固有的脆弱性； f 设计方案是否考虑随着其他系统接入而可能产生的风险； g）系统性能是否满足用户需求，并考虑到峰值的影响，是否在技术上考虑了满足系统性能要求的 方法； h）应用系统（含数据库)是否根据业务需要进行了安全设计； 设计方案是否根据开发的规模、时间及系统的特点选择开发方法，并根据设计开发计划及用户 需求，对系统涉及的软件、硬件与网络进行分析和选型； 设计活动中所采用的安全控制措施、安全技术保障手段对风险的影响。在安全需求变更和设 计变更后，也需要重复这项评估。 设计阶段的评估可以以安全建设方案评审的方式进行，判定方案所提供的安全功能与信息技术安 全技术标准的符合性。评估结果应体现在评估对象需求分析报告或建设实施方案中

A.4实施阶段的风险评估

实施阶段风险评估的目的是根据安全需求和运行环境对系统开发、实施过程进行风险识别，并对建 成后的安全功能进行验证。根据设计阶段分析的威胁和制定的安全措施，在实施及验收时进行质量 控制。 基于设计阶段的资产列表、安全措施，实施阶段应对规划阶段的安全威胁进行进一步细分，同时评 活安全措施的实现程度，从而确定安全措施能否抵御现有威胁、脆弱性的影响。实施阶段风险评估主要 对业务及其相关信息系统的开发、技术与产品获取，系统交付实施两个过程进行评估。开发、技术与产 品获取过程的评估要点包括： a）法律、政策、适用标准和指导方针：直接或间接影响评估对象安全需求的特定法律；影响评估对 象安全需求、产品选择的政府政策、国际或国家标准； b）评估对象的功能需要：安全需求是否有效地支持系统的功能； C) 成本效益风险：是否根据评估对象的资产、威胁和脆弱性的分析结果，确定在符合相关法律、政 策、标准和功能需要的前提下选择最合适的安全措施； d）评估保证级别：是否明确系统建设后应进行怎样的测试和检查，从而确定是否满足项目建设、 实施规范的要求。

A.5交付阶段的风险评

系统交付实施过程的评估要点包括： a）根据实际建设的系统，详细分析资产、面临的威胁和脆弱性； b）根据系统建设目标和安全需求，对系统的安全功能进行验收测试；评价安全措施能否抵御安全 威胁； C 评估是否建立了与整体安全策略一致的组织管理制度； d）对系统实现的风险控制效果与预期设计的符合性进行判断，如存在较大的不符合，应重新进行 评估对象安全策略的设计与调整。 本阶段风险评估可以采取对照实施方案和标准要求的方式，对实际建设结果进行测试、分析

A.6运行阶段的风险评估

平估内容包括对真实运行的资产、威胁、脆弱性等各方面。 a）资产评估：包括对业务、系统资产、系统组件和单元资产的评估。业务评估包括业务定位 关联性、完整性、业务流程分析；系统资产评估包括系统分类和业务承载连续性的评估；系

件和单元资产是在真实环境下较为细致的评估，包括实施阶段采购的软硬件资产、系统运行过 程中生成的信息资产、相关的人员与服务等，本阶段资产识别是前期资产识别的补充与增加。 b) 威胁评估：应全面地分析威胁的可能性和严重程度。对威胁导致安全事件的评估可以参照威 胁来源动机、能力和安全事件的发生频率。 c) 脆弱性评估：是全面的脆弱性评估。包括运行环境中物理、网络、系统、应用、安全保障设备、管 理等各方面的脆弱性。技术脆弱性评估可以采取核查、扫描、案例验证、渗透性测试的方式实 施；安全保障设备的脆弱性评估，应包括安全功能的实现情况和安全保障设备本身的脆弱性； 管理脆弱性评估可以采取文档、记录核查等方式进行验证。 d）风险计算：根据本文件的相关方法，对风险进行定性或定量的风险分析，描述不同业务、系统资 产的风险高低状况。 运行维护阶段的风险评估应定期执行；当组织的业务流程、系统状况发生重大变更时，也应进行风 险评估，重大变更包括以下情况（但不限于）： a) 增加新的应用或应用发生较大变更； b) 网络结构和连接状况发生较大变更； c) 技术平台大规模的更新； d) 系统扩容或改造 发生重大安全事件后，或基于某些运行记录怀疑将发生重大安全事件； 组织结构发生重大变动对系统产生了影响。

A.7废弃阶段的风险评估

废弃阶段风险评估着重在以下几方面： 确保硬件和软件等资产及残留信息得到了适当的处置，并确保系统组件被合理地丢弃或更换； b）如果被废弃的系统是某个系统的一部分，或与其他系统存在物理或逻辑上的连接，还需考虑系 统废弃后与其他系统的连接是否被关闭； ) 如果在系统变更中废弃，除对废弃部分外，还应对变更的部分进行评估，以确定是否会增加风 险或引人新的风险； d）是否建立了流程，确保更新过程在一个安全、系统化的状态下完成。 本阶段应重点对废弃资产对组织的影响进行分析，并根据不同的影响制定不同的处理方式。对由 系统废弃可能带来的新的威胁进行分析，并改进新系统或管理模式。对废弃资产的处理过程应在有 的监督之下实施，同时对废弃的执行人员进行安全教育，评估对象的维护技术人员和管理人员均应参 此阶段的评估

GB/T209842022

暖通标准规范范本附录B （资料性） 风险评估的工作形式

自评估是指评估对象的拥有、运营或使用单位发起的对本单位进行的风险评估。自评估应在本文 件的指导下，结合评估对象特定的安全要求实施。周期性进行的自评估可以在评估流程上适当简化，重 点针对自上次评估后评估对象发生变化后引人的新威胁，以及脆弱性的完整识别，以便于两次评估结果 的对比。但评估对象发生A.6中所列的重大变更时，应依据本文件进行完整的评估。 自评估可由发起方实施或委托风险评估服务技术支持方实施。由发起方实施的评估可以降低实施 的费用、提高相关人员的安全意识，但可能由于缺乏风险评估的专业技能，其结果不够深人准确；同时， 受到组织内部各种因素的影响，其评估结果的客观性易受影响。委托风险评估服务技术支持方实施的 评估，过程比较规范、评估结果的客观性比较好，可信程度较高；但由于受到行业知识技能及业务了解的 限制，对评估对象的了解，尤其是在业务方面的特殊要求存在一定的局限。由于引入风险评估服务技术 支持方本身就是一个风险因素，因此，对其背景与资质、评估过程与结果的保密要求等方面应进行控制。 此外，为保证风险评估的实施，与评估对象相连的相关方也应配合，以防止给其他方的使用带来困 难或引入新的风险。

GB/T20984—2022

风险评估工具是风险评估的辅助手段，是保证风险评估结果可信度的一个重要因素。风险评估工 具的使用不但在一定程度上解决了手动评估的局限性，最主要的是它能够将专家知识进行集中，使专家 的经验知识被广泛地应用 根据在风险评估过程中的主要任务和作用原理的不同，风险评估的工具可以分成风险评估与管理 工具、系统基础平台风险评估工具、风险评估辅助工具三类。风险评估与管理工具是一套集成了风险评 估各类知识和判据的管理信息系统，以规范风险评估的过程和操作方法；或者是用于收集评估所需要的 数据和资料，基于专家经验，对输人输出进行模型分析。系统基础平台风险评估工具主要用于对信息系 统的主要部件（如操作系统、数据库系统、网络设备等）的脆弱性进行分析，或实施基于脆弱性的攻击。 风险评估辅助工具则实现对数据的采集、现状分析和趋势分析等单项功能，为风险评估各要素的赋值、 定级提供依据。

C.2风险评估与管理工具

需要分别采取定性和定量的方法完成。 基于模型的风险评估与管理工具是在对系统各组成部分、安全要素充分研究的基础上，对典型系统 得到评价的结果

C.3系统基础平台风险评估工具

C.4风险评估辅助工具

科学的风险评估需要大量的实践和经验数据的支持，这些数据的积累是风险评估科学性的基础。 险评估过程中，可以利用一些辅助性的工具和方法来采集数据，帮助完成现状分析和趋势判断。 a) 国家漏洞库、专业机构发布的漏洞与威胁统计数据。 b) 检查列表和基线检查工具：检查列表是基于特定标准或基线建立的，对特定系统进行审查的项 目条款。通过检查列表，操作者可以快速定位系统目前的安全状况与基线要求之间的差距，该 检查工作可以通过基线检查工具实现。 C 网络入侵检测系统：全流量威胁检测系统、基于日志的失陷检测工具和入侵检测系统等通过部 署检测引擎消防安全，收集、处理整个网络中的通信信息，以获取可能对网络或主机造成危害的入侵攻 击事件；帮助检测各种攻击试探和误操作；同时也可以作为一个警报器，提醒管理员发生的安 全状况。 d）态势感知系统：态势感知系统通过综合分析网络安全要素，评估安全状况，预测其发展趋势，以 可视化的方式展现给用户，并给出相应的报表和应对措施；它的相应报表可以作为安全现状数 据，并用于分析威胁情况。