3.4 风险评估准备

环境建立完成后就进入信息安全风险管理的第二步——风险评估。根据风险评估流程中的各项工作内容，一般将风险评估实施划分为风险评估准备、风险要素识别、风险分析与评价几个阶段。其中风险评估准备是风险评估实施的前提。组织实施风险评估是一种战略性的考虑，其结果将受到组织的业务战略、业务流程、安全需求、系统规模和结构等方面的影响。因此，为了保证评估过程的可控性及评估结果的客观性，在信息安全风险评估实施前应进行充分的准备和计划。本节介绍信息安全风险评估准备阶段的内容，具体包括确定信息安全风险评估的目标、确定信息安全风险评估的范围、组建风险评估团队、进行系统调研、确定信息安全风险评估方法和依据、选定评估工具和制定信息安全风险评估方案，以及准备阶段工作保障。

3.4.1 确定信息安全风险评估的目标

信息安全风险评估准备阶段首先应明确目标，为整个信息安全风险评估的过程提供导向，也为下一步完善管理制度，以及今后的安全建设和风险管理提供第一手资料。信息安全需求是一个组织为保证其业务正常、有效运转而必须达到的信息安全要求。通过分析组织必须符合的相关法律法规，分析组织在业务流程中对信息安全等的保密性、完整性、可用性等方面的需求，来确定信息安全风险评估的目标。

风险评估的目标是，根据满足组织发展战略和业务职能相关持续发展对安全和法律法规合规性的需要，识别现有业务、技术及管理上的不足，分析确定风险大小，评价可能造成的影响，为下一步风险处置和安全加固提供依据。

风险评估应贯穿于被评估对象生命周期的各阶段中，由于被评估对象生命周期各阶段中风险评估实施的内容、对象、安全需求均不同，因此被评估组织应首先根据当前被评估对象的实际情况来确定其在生命周期中所处的阶段，并以此来明确风险评估目标。

按照GB/T 31509，组织确定的各阶段的评估目标应符合以下原则。

（1）规划阶段风险评估的目标是，识别被评估对象的业务战略，以支撑系统安全需求及安全战略等。规划阶段的评估应能够描述被评估对象建成后对现有业务模式的作用，包括技术、管理等方面，并根据其作用确定被评估对象应达到的安全目标。

（2）设计阶段风险评估的目标是，根据规划阶段所明确的系统运行环境、业务重要性、资产重要性，提出安全功能需求。设计阶段的风险评估结果应对设计方案中所提供的安全功能符合性进行判断，作为采购过程中对产品或服务进行风险控制的依据。

（3）实施阶段风险评估的目标是，根据安全需求和运行环境对系统开发、实施过程进行风险识别，并对系统建成后的安全功能进行验证。根据设计阶段分析的威胁和制定的安全措施，在实施及验收时进行质量控制。

（4）系统交付阶段风险评估的目标是，采取对照实施方案和标准要求的方式，对实际建设结果进行测试、分析、验收。如存在较大的不符合，应重新进行被评估对象安全策略和措施的设计与调整。

（5）运行维护阶段风险评估的目标是，了解和控制运行过程中的安全风险。评估内容包括被评估对象的战略、业务、资产、面临威胁、自身脆弱性及已有安全措施等方面。

（6）废弃阶段风险评估的目标是，确保废弃资产及残留信息得到适当的处理，并对废弃资产对组织的影响进行分析，以确定是否会增加或引入新的风险。

3.4.2 确定信息安全风险评估的范围

在确定风险评估所处的阶段及相应目标之后，应进一步确认风险评估的范围。

风险评估范围可能是组织全部的信息及与信息处理相关的各类资产、管理机构等，也可能是组织所属的一个或几个子结构或子部门。

描述范围最重要的是对评估边界的描述。确定了清晰的评估边界，就相当于规定了风险评估小组的授权范围，并提供了进行评估的必要信息，例如硬件、软件、人员和基础设施等。

组织通常按照物理边界和逻辑边界来描述风险评估的范围。物理边界定义了一个系统起于哪里止于何处，信息系统的物理边界元素包括我们常见的信息资产，如工作站、服务器、网络设备、线路、外设、建筑物和建筑物内独立的房间。逻辑边界定义了分析所需的广度和深度。

3.4.3 组建风险评估团队

在风险评估的准备阶段，评估组织应成立专门的评估团队。风险评估团队应由被评估组织、评估机构共同组建风险评估工作组；由被评估组织领导、相关部门负责人及评估机构相关人员成立风险评估领导小组；聘请相关专业的技术专家和技术骨干组成专家组。

风险评估小组应完成评估前的表格、文档、检查工具等各项准备工作，进行风险评估技术培训和保密教育，制定风险评估过程管理相关规定；编制应急预案等。双方应签署保密协议，并根据需要签署个人保密协议。

1.风险评估工作组

为确保风险评估工作有效进行，委托评估时风险评估工作组通常由评估机构和被评估机构相关人员共同参与组建，自评估时风险评估工作组则由机构自己组建。风险评估活动应采用项目管理机制。评估机构和被评估机构的主要成员角色与职责说明如表3-2和表3-3所示。

如被评估机构不设开发人员岗位，其职责和分工可由信息系统运维人员承担。

2.风险评估领导组

风险评估领导组主要负责决策风险评估工作的方针、目标，参与并指导风险评估准备阶段的启动会议，协调评估实施过程中的各项资源，组织评估项目验收会议，批准、推进并监督风险处置工作，开展风险处置效果评价，与利益相关方进行沟通，进行风险管理全过程监视与评审等。

当信息安全风险评估采取委托评估方式时，风险评估领导组一般由被评估组织主管信息化或信息安全工作的领导负责，成员一般包括：被评估组织信息技术部门负责人、相关业务部门负责人等，并有风险评估实施组织的项目经理和相关部门负责人参与[8]。在自评估方式下，风险评估领导组则由单位自己组建。

3.风险评估专家组

对于大型复杂的风险评估项目，应考虑在项目期间聘请相关领域的专家对风险评估项目的关键阶段进行工作指导。专家的具体职责包括以下内容[8]。

（1）帮助被评估组织和实施方规划风险评估项目的总体工作思路和方向；

（2）对出现的关键性难点问题进行决策；

（3）对风险评估结论进行确定；

（4）开展风险评估过程相关议题的咨询活动。

3.4.4 进行系统调研

在环境建立阶段对风险管理对象进行了充分的调查与分析。在此基础上，风险评估团队通过调查问卷、人员访谈、现场考察、核查表等形式对组织的业务、组织结构、管理、技术等方面进行调查。依据调查表列表（如表3-4所示），可以调查系统的管理、设备、人员管理的情况，并结合现场核查设备的实际配置等情况。例如，用于组织发展战略和业务识别、资产识别、威胁识别、脆弱性识别，以及已有安全措施的确认等调查工作，得出系统在物理、环境和操作方面的信息。

以《业务和业务流程调查表》为例，其样表如表3-5所示。该表用于业务识别之用。业务和业务流程识别的主要手段是访谈、文档查阅和资料调查。该表作为业务识别的辅助工具，帮助记录风险评估对象的各项业务或业务流程。

3.4.5 确定信息安全风险评估的依据和方法

信息安全风险评估涉及组织内部有关的重要信息，被评估组织应慎重选择评估单位、评估人员的资质和资格，并遵从国家或行业相关管理要求。根据前期的调研结果，并根据评估的工作形式（自评估或检查评估）确定评估依据，具体可参考3.1.3节。

根据信息安全风险评估依据，综合考虑信息安全风险评估的目的、范围、时间、效果、评估人员素质等因素，选择具体的风险识别方法和风险分析、计算方法，并依据业务实施对系统安全运行的需求，确定相关的判断依据，使之能够与组织环境和安全要求相适应。

3.4.6 选定评估工具

评估工具是信息安全风险评估中用于风险识别、已有安全措施确认和风险分析的各类信息收集工具或表格，包括自动化搜集探测工具、调查表或检查列表等。

根据在风险评估过程中的主要任务和作用原理的不同，风险评估工具可以分成风险评估与管理工具、系统基础平台风险评估工具、风险评估辅助工具三类。

风险评估与管理工具是一套集成了风险评估各类知识和判据的管理信息系统，用于规范风险评估的过程和操作方法，或者用来收集评估所需要的数据和资料，基于专家的经验对输入、输出进行模型分析。例如：基于NIST SP 800-30、ISO/IEC 27005或ISO/IEC TR 13335等标准的风险评估工具，基于知识库的风险综合评估工具，以及基于定性或定量方法进行模型分析的风险评估工具等。

系统基础平台风险评估工具主要用于对信息系统的主要部件（如操作系统、数据库系统、网络设备等）的脆弱性进行分析，或对基于脆弱性攻击的可能性进行发现，例如：漏洞扫描工具、渗透性测试工具等。

风险评估辅助工具则实现对数据的采集、现状分析和趋势分析等单项功能，为风险评估各要素的赋值、定级提供依据，例如：基于特定基线标准的检查列表、IDS、IPS（Intrusion Prevention System，入侵防御系统）、安全审计工具、拓扑发现工具、资产信息收集电子调查表、评估指标库、算法库、模型库、国家漏洞库，以及专业机构发布的漏洞与威胁统计数据等。

选定评估工具首先要从现有风险评估方法和工具库中选择合适的风险评估方法和工具，形成入选风险评估方法和工具列表；其次，根据评估对象和评估内容合理选择相应的评估工具。评估工具的选择和使用具体应遵循以下原则[8]。

（1）系统脆弱性评估工具应具备全面地对被评估对象脆弱性进行核查与检测的能力。

（2）评估工具的检测规则库应具备升级功能，能够及时更新。

（3）评估工具使用的检测方式不应对被评估对象造成不正常影响。

（4）可采用多个评估工具对同一测试对象进行检测，如果出现检测结果不一致的情况，应采用必要的人工关联分析，并给出与实际情况最为相符的结果判定。

（5）评估工具的选择和使用必须符合国家有关规定。

信息安全风险评估实施组织应根据调研结果确定具体的工作内容，积极准备开展评估工作时所必需的条件，选择完成评估活动所要用到的工具和表格，并制定相应的风险评估方案。

3.4.7 制定信息安全风险评估方案

制定信息安全风险评估方案的目的是为风险评估实施活动提供一个总体计划，用于指导评估团队开展评估工作，使评估各阶段工作可控，并作为评估项目验收的主要依据之一。风险评估方案应得到被评估组织的信息安全风险管理决策层和管理层的认可和批准。风险评估方案的内容一般包括[8]以下内容。

（1）风险评估概况：包括评估目标、评估意义、评估范围和评估依据等。

（2）评估团队组织：包括评估工作组成员、组织结构、角色、责任；如有必要还应包括风险评估领导组和专家组介绍等；

（3）评估工作计划：包括各阶段工作内容、工作形式、工作成果等；

（4）评估工作自身风险管理：包括保密协议、评估工作环境要求、评估方法、工具选择、应急预案等；

（5）经费预算：主要涉及评估工作经费预算；

（6）时间进度安排：评估工作实施的时间进度安排；

（7）项目验收方式：包括对验收方式、验收依据、验收结论的定义等。

上述所有内容确定后，应形成较为完善的风险评估实施方案，得到组织最高管理者的支持和批准。

3.4.8 准备阶段工作保障

3.4.8.1 文档管理

为了确保文档资料的完整性、准确性和安全性，应遵循以下原则：

（1）指派专人负责管理和维护项目进程中产生的各类文档，确保文档的完整性和准确性；

（2）文档的存储应进行合理的分类和编目，确保文档结构清晰可控；

（3）所有文档都应注明项目名称、文档名称、版本号、审批人、编制日期、分发范围等信息；

（4）不得泄露给与本项目无关的人员或组织，除非预先征得被评估组织项目负责人的同意。

3.4.8.2 评估工作自身风险的控制

风险评估工作自身也存在风险，一是评估结果是否准确有效、能够达到预先目标存在风险；二是评估中的某些测试操作可能给被评估组织或信息系统引入新的风险。应通过以下工作消除或降低评估工作中可能存在的风险。

风险评估工作应实行质量控制，以保证评估结果的准确有效。风险评估工作应明确划分各个阶段。在各个阶段中，一是要根据相应的管理规范开展评估工作；二是保证数据采集的准确性和有效性；三是充分了解被评估组织的行业背景及安全特性要求，以及对被评估信息系统所承担的业务和自身流程的理解。

在进行脆弱性识别前，应做好应急准备。风险评估实施组织应对测试工具进行核查。核查内容包括：测试工具是否安装了必要的系统补丁，是否存在与本次评估工作无关的残余信息、病毒木马，漏洞库或检测规则库升级情况及工具运行情况如何。核查人员应填写测试工具核查记录；评估人员事先应将测试方法与被评估组织相关人员充分沟通；在测试过程中，评估人员应在被评估组织相关人员配合下进行测试操作[8]。