GB∕T 33132-2016 信息安全技术 信息安全风险处理实施指南.pdf

所需积分/C币:50 2019-09-28 16:45:40 2.39MB PDF
65
收藏 收藏
举报

GB∕T 31496-2015 信息技术 安全技术 信息安全管理体系实施指南
GB/T33132—2016 前言 本标准按照GB/T1.1—209给出的规则起草 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任 本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。 本标准起草单位:国家信息中心、北京信息安全测评中心、中国民航大学、东软集团股份有限公司 北京数字认证股份有限公司、西安交大捷普网络科技有限公司。 本标准主要起草人:吴亚非、禄凯、陈永刚、赵章界、马勇、席斐、陈青民、何建锋。 GB/T33132—2016 引言 信息安全风险管理是信息安仝保障匚作中的一项重要基础性工作.其核小思想是对管理对象面临 的信息安全风险进行管控。信息安全风险管理工作贯穿于信息系统生命周期(规划、设计、实施、运行维 护和废弃)的仝过程,主要工作过程包括风险评估和风险处理两个基本步骤。风险评估是对风险管理对 象所面临的风险进行识别、分析和评价的过程。凤险处理是依据风险评估的结果,选择和实施安全措旌 的过程。 为指导各类组织规范性地开展信息安全风险处理,在GB/T209842007信息安全技术信息安 全风险评估规范》、GB/Z243642009《信息安全技术信息安全风险管理指南》和GB/T315092015 《信息安全技术信息安全凤险评估实施指南》的基础上,本标准针对凤险评佔工作屮反映出来的各类 信息安全风险,从风险处理工作的组织、管理、流程、评价等方面给出了相关描述,用于指导组织形成客 观、规范的风险处理方案,促进风险管理工作的完善。 B/T33132—2016 信息安全技术信息安全风险处理 实施指南 范围 本标准给出了信息安全风险处理的基本概念、处理原则、处理方式、处理流程以及处理结東后的效 果评价等管理过程和方法,并对处理过程中的角色和职责进行了定义 本标准适用于指导信息系统运营使用单位和信息安全服务机构实施信息安全风险处理活动。 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件 GB/T20984—2007信息安全技术信息安全风险评估规范 GB/Z24364—2009信息安全技术信息安全风险管理指南 3术语和定义 GB/T20984—2007、GB24364—2009界定的以及下列术语和定义适用于本文件。 3.1 风险处理 risk treatment 选择并且执行措施来更改风险的过程 [ISO/IEC Guide 73: 2002] 注:在本标准中,术语“控制措施”被用作“措施”的同义词。 3.2 风险规避 risk elimination 不卷人风险处境的决定或撒离风险处境的行动。 [ISO/IEC Guide 73: 2002] 3.3 风险转移 risk mitigation 与另一方对风险带来的損失或收益的共享。 [ISO/IEC Guide 73: 20021 注:在信息安全风险的语境下,对于风险转移仅考虑负面结果(损失)。 3.4 风险降低 risk reduction 为降低风险的可能性和(或)负面结果所采取的行动 [ISO/IEC Guide 73: 2002 3.5 风险接受 risk retention 对来自特定风险的损失或收益的接受。 GB/T33132—2016 [ISO/IEC Guide 73: 20021 注:在信息安全风险的评境下,对于风险接受仅考虑负面后果(损失) 3.6 风险处理目标 risk treatment target 通过风险处理活动的实施所要达到的最终目标 3.7 风险处理评价 risk treatment evaluation 将风险处理措施实施后的结果与风险处理目标进行比较、分析,以确定风险处理效果的过程。 4风险处理实施概述 4.1风险处理基本原则 4.1.1合规原则 风险处理目标的确立和风险处理措施的选择应符合法律、法规、政策、标准和主管部门的要求 4.1.2有效原则 在合规原则的前提下,风险处理的核心目的就是通过采取风阶处理活动,有效地控制风险,使得处 理后的风险处于组织的可受范围之内。 4.1.3可控原则 明确风险处理的目标、方案、范围、需要实施的风险处理措施及风险处理措施本身可能带来的风险, 明确风险处理所需的资源,确保整个风险处理工作的可控性。 4.1.4最佳收益原则 根据确立的风险处理目标,运用成本效益分析的方法,综合分析各种风险处理措施的成本、时间和 技术等因素,以及能够获取的收益,选择收益最佳的凤险处理揹施。 4.2风险处理的方式 4.2.1概述 风险处理的方式主要有风险降低、凤险规避、风险转移和风险接受四种。这四种方式并不互相排 斥,组织可以通过多种风险处理方式的合理组合充分获益 4.2.2风险降低 通过对面临风险的资产采取保护措施来降低风險。保护措施可以从构成风险的5个方面(即威胁 源、威胁行为、脆弱性、资产和影响)来降低风险。比如,釆用法律的于段制裁计算机犯罪(包括窃取涉密 信息,攻击关键的信息系统基础设施,传播有害信息和垃圾邮件等),发挥法律的威慑作用,从而有效遏 制威胁源的动机;采取身份认证措施,从而抵制身份假冒威胁行为的能力;及时给系统打补丁(特剐是针 对安全漏洞的补丁),关闭无用的网络服务端口,从而减少系统的脆弱性.降低其被利用的可能性;采用 各种防护措施,建立资产的安全域,从而保证资产不受侵犯,其价值得到保持;釆取容灾备份、应急响应 和业务连续性计划等措施,从而降低安全事件造成的影响程度。 GB/T33132—2016 4.2.3风险规避 通过不使用面临风险的资产来避免风险。比如,在没有足够安全保障的信息系统中,不处理敏感的 信息,从而防止敏感信息的泄漏。再如,对于只处理内部业务的信息系统,不使用互联网,从而避免外部 的入侵和攻击。 4.2.4风险转移 通过将面临风险的资产或其价值进行安全转移来避免或降低风险。比如,在本机构不具备足够的 安全保障技术能力时,将信息系统的技术体系(即信息载体部分)外包给满足安全保障要求的第三方机 构,从而避兔技术风险。再如,通过给昂贵的设备上保险,将设备损失的风险转移给保险公司,从而降低 资产价值的损失。 4.2.5风险接受 对风险不采取进一步的处理措施,接受风险可能带来的结果。凤险接受的前提是:确定了信息系统 的凤险等级,评佔了风险发生的可能性以及带来的潜在破坏,分析了使用处理措施的可能性,并进行了 较全面的成本效益分析,认定某些功能、服务、信息或資产不需要进一步保护 4.3风险处理的角色和职责 信息安全风险处理应该组建团队,分清角色,明确职责。风险处理闭队可以分为管理层和执行层 其中,管理层负责审査风险处理目标、批准风险处理方苿并认可风险处理结果,执汍行层负责确定风险处 理目标、编制凤险处理方案并在风险处理方案获得批准后负责实施。必要时,可聘请相关专业的技术专 家组成专家小组,指导风险处理工作。 44风险处理的基本流程 风险处理的基本流程包括了三个阶段的工作,分别为风险处理准备阶段、风险处理实施阶段和风险 处理效果评价阶段,如图1所示。 第一个步骤是风险处理准备,确定风险处理的范同,明确风险处理的依据,组建风险处理团队,设定 风险处理的目标和可接受准则,选择凤险处理方式,明确凤险处理资源,形成风险处理计划,并得到管理 层对风险处理计划的批准。第二个步骤是风险处理实施,准备风险处理备选措施,进行成本效益分析和 残余风险分析,对处理错施进行风险分析并制定应急计划,编制风险处理方案,待处理方案获得批准后, 要对风殓处理措施进行测试,测试完成后,正式实施。在处理措施的实施过程中,要加强监管与审核。 第三个步骤是风险处理效果评价,制定评价原则和方案,开展评价实施工作,对没有达到处理目的的风 险,要进行持续改进。风险处理工作是持续性的活动,当受保护系统的政策环境、业务目标、安全目标和 特性发生变化时,需要再次进人上述步骤 在夲标准的第5章到第7章,对信息安全风险处理实施过程的上述3个步骤的概念、过程、工作闪 谷、输出文档等进行了闫述。 GB/T33132—2016 输入 过程 输出 启动风险处理准备 1风险评估报告 1安全整改建议 国家安全政策 |相关方安全诉 求 风险处理准备阶 制定风险处理计划 风险处理计划 获得管理 层批准 风险处理方案制定 1风险处理计划 风险处理措施选择成本效益分析 残余风险分析(处理措施风险分 获得管理 否 层批准 风险处理可接受准 处理实施阶 则 风险处理成本效益 是 |分析报告 段 风险处理残余风险 风险处理方案实施 1分析报告 风险处理应急计划 风险处理措施测试 风险处理方案 风险处理措施测试 风险处理措施实施 报告 风险处理监督与审核 风险处理实施报告 风险处理审核报告 C编制评价方案 风险处理方案 残余风险分析 报告 日|成本效益分析 报告 风险处理效果评价阶段 评价实施是否 否 风险处理效果评 达成目标 1价方案 风险处理效果评 是 价报告 风险处理改进方 持续改进 图1风险处理基本流程图 4 GB/T33132—2016 5风险处理准备 5.1制定风险处理计划 5.1.1划定风险处理范围 根据风险评估报告、组织的安全管理策略及安全需求划定风险处理L作的范围,在确定风险处理的 边界时,应考虑以下因素 a)业务系统的业务逻辑边界; b)网络及设备载体边界; c)物理环境边界; d)组织管埋权限边界; 其他 5.1.2明确风险处理依据 风险处理的依据包括(但不限于) a)国家的相关法律、法规和政策; b)现行国际标准、国家标准和行业标准; c)行业主管部门的相关规章和制度; d)组织的业务战略和信息安全需求 e)组织业务相关单位的安全要求; f)系统本身的安全要求等。 5.1.3组建风险处理团队 信息安全风险处理是基于风险的信息系统的一种安全管理过程,因此风险处理团队既包括信息安 全风险管理的直接參与人员,也包括信息系统的相关人员。信息安全风险处理主要划分为管理层和执 行层,管理层负责信息系统风险处理的决策、总体规划和批准监督,各过程中的管理、组织和协调工作; 执行层负责信息安全风險处理的具体规划、设计和实施,过程监督、记录并反馈实施效果 如果采用的风险转移方式中涉及到第三方单位,应将其纳人风险处理团队 5.1.4设定风险处理的目标和可接受准则 根摒信息系统风险评佔结果.依据国家相关信息安全要求.组织和相关方的信息安全诉求,明确风 險处理对象应达到的最低保护要求,结合组织的风险可承受程度,确定风险可接受准则。风险可接受准 则的划分可参考如下标准 a)风险等级为很高或高的风险建议进行处理,对于现有处理措施技术不成熟的,建议加强监控; b)风险等级为中的风险可根据成本效益分析结果确定,对于处理成本无法承受或现有处理措旌 技术不成熟的,可持续跟踪、逐步解决; c)风险等级为低或很低的风隃可选择接受,但应综合考虑组织所处的政策环境、外部相关方要求 和组织的安全目标笔因素。 风险可接受准则宜与管理层充分沟通,得到组织管理层认可,并与风险处理计划一起提交管理层 批准。 5.1.5选择风险处理方式 根据风险处理可接受准则,明确需要处埋的风险和可接受的风险,对于需要处理的风险,应初步确 GB/T33132—2016 定每种风险拟采取的处理方式,形成风险处理列表。风险处理方式可以是规避风险、转移风险、降低风 险三种处理方式的一种,也可以是多种处理方式的组合。 风险处理列表的内容包括风险名称涉及的资产范围、初步确定的风险处理方式等。风险处理列表 需要得到组织管理层的认可和批准 5.1.6明确风险处理资源 根据既定的风险处理目标,明确风险处理涉及的部门、人员和资产以及需要增加的设备、软件、工具 等所需资源。 5.1.7形成风险处理计划 上述所有内容确定后,应形成风险处理计划。处理计划应包含(但不限于):风险处理范围、依据、目 标、方式、所需资源等 输人:风险评佔报告,凤险等级列表 输出:风险处理计划 5.2获得管理层批准 制定完成并确认后的凤险处理计划,应得到组织最高管理者的批准 输入:风险处理计划 输出:风险处理计划批准表 6风险处理实施 6.1风险处理方案制定 6.1.1风险处理备选措施准备 依据组织的使命,并遵循国家、地区或行业的相关政策、法律、法规和标准的规定,参考信息系统的 风险评估报告,并结合风险处理准备阶段的处理依据、处理目栎、范围和方式,依据每种风险的处理方式 选择对应的风险处理措施,编制风险处理备选措施列表 输入:信息系统风险评估报告,风险处理目标列表,风险处理计划 输出:风险处理备选措施列表 6.1.2成本效益分析 针对风险处理备选措施列表的各项处理目标,结合组织实际情况,提出实现这些目标的多种可能方 案,衡量各种方案的成不和收益,如果风险造成的损失大于成本,则依据最佳收益原则选择适当的处理 方案。 对于成本效益分析可以采用定量分析和定性分析两种方法。对于定量分析首先需要确定各资产价 值,为各个风险输人资产价值,确定资产面临的损坏程度,之后估计发生的可能性,进而以损失价值与发 生概率相乘计算出预期损失。由于评估无形资产的主观性本质,没有量化风险的精确算法,建议根据组 织情况明确成本和效益的一到两个关键值,并设立期望值,进而选择可行方案(案例可参见附录A)。 在进行成本效益分析时,在成本应考虑的因素主要包括硬件、软件、人力、时间、维护、外包服务;效 益应考虑的因素主要包括政治影响、社会效益、合规性和经济效益 输入:风险处理备选揹施列表 输出:风险处理成本效袷分析报告,更新后的风险处理备选措施列表

...展开详情
试读 28P GB∕T 33132-2016 信息安全技术 信息安全风险处理实施指南.pdf
立即下载 低至0.43元/次 身份认证VIP会员低至7折
一个资源只可评论一次,评论内容不能少于5个字
您会向同学/朋友/同事推荐我们的CSDN下载吗?
谢谢参与!您的真实评价是我们改进的动力~
  • 签到新秀

关注 私信
上传资源赚钱or赚积分
最新推荐
GB∕T 33132-2016 信息安全技术 信息安全风险处理实施指南.pdf 50积分/C币 立即下载
1/28
GB∕T 33132-2016 信息安全技术 信息安全风险处理实施指南.pdf第1页
GB∕T 33132-2016 信息安全技术 信息安全风险处理实施指南.pdf第2页
GB∕T 33132-2016 信息安全技术 信息安全风险处理实施指南.pdf第3页
GB∕T 33132-2016 信息安全技术 信息安全风险处理实施指南.pdf第4页
GB∕T 33132-2016 信息安全技术 信息安全风险处理实施指南.pdf第5页
GB∕T 33132-2016 信息安全技术 信息安全风险处理实施指南.pdf第6页

试读结束, 可继续读3页

50积分/C币 立即下载