GB/T 31722-2015 信息技术 安全技术 信息安全风险管理

ICS35.040

L80

,f-b

主K

－－岳＿＿.‘

不日

人民国国家标准

中J，、、

GB/T31722-2015/ISO/IEC27005:2008

信息技术安全技术

信息安全风险管理

Informationtechnology-Securitytechniques一

Informationsecurityriskmanagement

CISO/IEC27005:2008,IDT)

2015-06-02发布2016-02-01实施

中华人民共和国国家质量监督检验检痊总局

发布

中国国家标准化管理委员会

GB/T31722-2015/ISO/IEC27005:2008

目

次

T

……………·iHH

前言

引言………………

I

1范围……··

2规范性寻｜用文件

……··...

3术语和定义

4本标准结构2

5背最………………………3

6信息安全风险管理过程概述……………3

7语境建立…·

8信息安全风险评估………………………7

9信息安全风险处置………………………u

10信息安全风险接受……………………16

11信息安全风险沟通……………………M

12信息安全风险监视和评审……………口

附录A（资料性附录〉确定信息安全风险管理过程的范围和边界……四

附录BC资料性附录）资产识别和估价以及影H向评估…………………22

附录C（资料性附录）典型威胁示例……………………n

附录D（资料性附录）脆弱性和脆弱性评估方法………u

附录E（资料性附录〉信息安全评估方法………………35

附录F（资料性附录）风险降低的约束…………………40

参考文献……………………42

GB/'f31722-2015/ISO/IEC27005:2008

目。吕

小；标准按照GB/T1.12009给出的规则起草。

i11f注怠本文件的某些内容可能涉及专利。本文件的发布机构不欢扭识另lj这些专利的责任。

本标准使用翻译法等问采用ISO/IEC27005:2008《信息技术安全技术信息安全风险管理》〈英

文版）。

2f-：标准做了以下修改：

别·rJliT做了·些编辑性修改。

4＞＝标准山企国信息安全标准化技术委员会CSAC/'I'C260）捉州对··归ll。

本标准起草单位：巾网电子技术标准化研究院、上海二零卫上信息安全有限公司、中电长城网际系

统应用有限公司、JI1东行计算中心、北京信息安全rwJ评小心。

本标准主要起草人：许玉娜、问京华、上官晓丽、董火民、赵在＃f、李刚、周鸣乐。

I

GB/'I'31722-2015/ISO/IEC27005:2008

a

引

在司

一

信息安全管理体系标准族（InformationSecurityManagementSystem，简称ISMS标准族）是国际

信息安全技术标准化组织CTSO/TECJTClSC27）制定的信息安全管理体系系列国际标准。ISMS标准

族旨在帮助各种类型和规模的组织，开发和实施管理其信息资产安全的框架，并为保护组织信息（诸如，

财务信息、知识产权、员工详细资料，或者受客户或第三方委托的信息）的ISMS的独立评估做准备。

ISMS标准族包括的标准：a）定义了ISMS的要求及其认证机构的要求；b）提供了对整个“规划－实施－检

查－处置”CPDCA）过程和要求的直接支持、详细指南和（或）解释；c）阐述了恃定行业的ISMS指南；d）阐

述了ISMS的一致性评估。

目前，ISMS标准族由下列标准组成：

一－GB/T29246-2012信息技术安全技术信息安全管理体系概述和词汇

CISO/IEC27000:2009)

一－GB/T22080-2008信息技术安全技术信息安全管理体系要求CISO/IEC27001:

2005)

一－GB/T22081-2008信息技术安全技术信息安全管理实用规则CISC)/IEC27002:2005)

一－GB/T31496-2015信息技术安全技术信息安全管理体系实施指南＜ISO/IEC27003:

2010)

一－GB/1'31497-2015信息技术安全技术信息安全管理测量CISO/IEC2700<b:2009)

一－GB/T31722-2015信息技术安全技术信息安全风险管理CISC)/IEC27005:2008)

一－GB/T25067-2010信息技术安全技术信息安全管理体系审核认证机构的要求CISO/

IEC27006:2007)

一一ISO/IEC27007:2011信息技术安全技术信息安全管理体系审核指南

一－ISO/IECTR27008:2011信息技术安全技术信息安全控制措施审核员指南

一一ISO/IEC27010:2012信息技术安全技术行业问及组织间通信的信息安全管理

一－ISO/IEC27011:2008信息技术安全技术基于ISO/IEC27002的电信行业组织的信息

安全管理指南

一－ISO/IEC27013:2012信息技术安全技术ISO/TEC27001和IS()/IEC20000-1集成实施

指南

一一ISO/IEC27014:2013信息技术安全技术信息安全治理

一一ISO/IECTR27015:2012信息技术安全技术金融服务信息安全管理指南

本标准作为ISMS标准族之一．为组织内的信息安全风险管理提供指雨，恃别是支持按照

GB/1'22080的ISMS要求。然而，本标准不提供信息安全风险管理的任何特定方法。由组织来确定

其风险管理方法，这取决于诸如组织的ISMS范围、风险管理语境或所处行业。一些现有的方法司在本

标准描述的框架下使用，以实现ISMS的要求。

本标准的相关方包括关心组织内信息安全风险的管理者和员工以及（在适当情况下）支持这种活动

的外部方。

II

GB/'f31722-2015/ISO/IEC27005:2008

信息技术安全技术

信息安全风险管理

1范围

本标准为信息安全风险管理提供指雨。

本标准支持GB/T22080所规约的一般概念，旨在为基于风险管理方法来符合要求地实现信息安

全提供帮助。

知晓GB/T22080和GB/T22081中所描述的概念、模型、过程和术语，对于完整地理解本标准是

重要的。

本标准适用于各种类型的组织（例如，商务企业、政府机构、非盈利性组织〉．这些组织期望管理可能

危及其信息安全的风险。

2规范性引用文件

下列文件对于本文件的应用是必不司少的。凡是注日期的引用文件，仅注日期的版本适用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T22080-2008信息技术安全技术信息安全管理体系要求（IS()/IEC27001:2005.

IDT)

GB/T22081-2008信息技术安全技术信息安全管理实用规则（ISO/IEC27002:2005.IDT)

3术语和定义

GB/1'22080-2008和GB/T22081-2008中界定的以及下列术语和定义适用于本文件。

3.1

影晌in1pact

对所达到业务目标的不利改变。

3.2

信息安全凤险informationsecurityrisk

恃定威胁利用单个或一组，资产脆弱性的可能性以及由此可能给组织带来的损害。

注：它以事态的可能性及其后果的组合来应t1量。

3.3

凤险规避riskavoidance

不卷入风险处境的决定或撤离风险处境的行动。

[ISO/IECGuide73:2002]

3.4

凤险沟通riskcommunication

决策者和其他利益相关者之间关于风险的信息交换或共享。

[ISO/IECGuide73:2002]

1

GB/'r31722-2015/ISO/IEC27005:2008

3.5

凤险估算riskestimation

为凤险的时能性和后果赋值的活动。

[ISC)/IECGuide73:2002]

3.6

凤险识别riskidentification

发现平11列；II以防主~素并描述其特征的活动。

[TSC)/TECGuide73:2002]

3.7

风险降低riskreduction

为降低风险的可能性和（或）负面结果所采取的行动。

[TS()/TECGuide73:2002]

3.8

凤险保留riskretention

对来向特定风险的损失或收益的接受。

[ISC)/IECGuide73:2002]

注：在俏息安全风险的说镜下．对于风险保留仅考虑负而后果（损失｝．

3.9

凤险转移risktransfer

与另一方对风险带来的损失或收益的共享。

[ISO/IECGuide73:2002]

注：在信息安全风险的前境下．对于凤险转移仅考虑负而结果（损失〉．

4本标准结构

本标准捎述了信息安全风险管理过程及其活动。

m5常提供了背妖信息。

第6I,1约III了信息安全风险管理过程的总体概述。

第6:r;'t提陆的所有信息、安全风险管理活动在以下各章中依次进行了t1W述：

•第7J';j;i扫境建立；

•第8f主风险i•li.估；

•第9中：Jxl阶处置；

·第10章风险接受；

•第l1T,'i:风险沟通；

•第12:i'古风险监视与评帘。

附录啡’给出f信息安全风险管理活动的其他信息。附录A＜确定信息安全风险管理过程的范围和

边界〉对话挠建立提供支持。附录B（资产示例）、附录cc典型威胁示例）和附录D＜典型脆弱性示例）讨

论了资产识别和估价以及影响评估。

附录E给川i了信息安全风险评估方法的示例。

附淤F给出了风险降低的约束。

第7在·～第12章给:-1＼的所有风险管理活动的表述结构虫II下：

输入：标识执行该研动所帘的任何信息。

动作：描述活动。

2

GB/'f31722-2015/ISO/IEC27005:2008

实施指南：为执行该动作提供指南。指南中的某些内容可能不适用于所有情况，因此执行该动作的

其他方法可能更合适。

输出：标识执行该活动后得到的任何信息。

5背景

为识别组织的信息安全需求和创建有效的信息安全管理体系CISM白，一种系统化的信息安全风险

管理方法是必要的。这种方法宜适用于该组织的环境，特别是与整个组织风险管理宜保持一致。安全

工作宜以有效和及时的方式在需要的地方和l时候处理风险。信息安全风险管理宜是所有信息安全管理

活动中不可分割的一部分，并既应用于ISl\1S的实施，也应用于ISMS的持续运行。

信息安全风险管理宜是一个持续的过程。该过程宜建立南境，评估风险以及按风险处置计划进行

风险处置以实现相关的建议和决策。风险管理为将风险降低至可接受的水平，在决定宜做什么和什么

时候做之前，分析可能发生什么和可能的后果是什么。

信息安全风险管理将有助于：

•识别风险；

•以风险造成的业务后果和发生的可能性来评估风险；

•沟通和理解这些风险的可能性和后果；

•建立风险处置的优先顺序；

•建立为降低风险发生所采取行动的优先级；

•使利益相关方参与风险管理决策并持续告知风险管理状态；

•监视风险处置的有效性；

•监视和｜定期评审风险及风险管理过程；

•获取信息以改进风险管理方法；

•向管理者和员工传授风险知识以及减轻风险所采取的行动。

信息安全风险管理过程可应用于整个组织、组织的任何独立部分（例如，一个部门、一处物理位置、

一项服务）、任何信息系统、现有的或讨划的或特定方面的控制措施（例如，业务持续性讨划）。

6信息安全凤险管理过程概述

信息安全风险管理过程由语挠建立（第7章）、风险评估（第8章）、风险处置（第9章）、风险接受（第

10章）、风险沟通（第11:E在）和风险监视与评审（第12掌）组成。

如医I1所示，信息安全风险管理过程可以迭代地进行风险评估和（或）风险处置活动。迭代方法进

行风险评估可在每次选代时增加评估的深度和细节。该选代方法在最小化识别控制措施所需的时间和

精力与确保高风险得到适当评估之间，提供了一个良好的平衡。

首先建立语境，然后进行风险评估。对于有效地确定将风险降低至可接受水平所需行功，如果风险

评估提供了足够的信息．那么就结束诙风险评估，接下来进行风险处置。如果提供的信息不够充分，那

么将在修订的话境（例如．风险评价准则、风险接受准则或影响准则lj）下进行该风险评估的另一次迭代

（见医I1，风险决策点1）。此次迭代司能是在整个范围的有限部分上进行。

风险处置的有效性取决于该风险评估的结果。风险处置后的残余风险可能不会立即达到一个可接受

的水平。在这种情况下，如果必要的话，可能需要在改变的语境参数（例如l.风险评估准则、风险接受准则

或影响准则）下进行该风险评估的另一次迭代．以及随后的进一步风险处置〈见医I1，风险决策点2）。

风险接受活动耍确保残余风险被组织的管理者明确地接受。在情如由于成本而省略或推迟实施控

制措施的情况下，这点尤其重要。

3

GB/'I'31722-2015/ISO/IEC27005:2008

在整个信息安全风险管理过程期间，重要的是将风险及其处置传达至适当的管理者和运行人员。

即使是风险处置前，已识别的风险信息对管理事件可能是非常有价值的，并可能有助于减少潜在损害。

管理者和员工的风险意识、缓解风险的现有控制措施的性质以及组织关注的领域，这些均有助于以最有

效的方式处理事件和意外情况。信息安全风险管理过程的每个活动以及来自两个风险决策点的详细结

果均宜记录在案。

GB/T22080规定，ISMS的范围、边界和语境内所实施的控制措施应基于风险。信息安全风险管

理过程的应用能够满足这一要求。有许多方法可以在组织内成功地实施此过程。但无论什么方法，组

织宜为此过程的每一恃定应用，选用最适合自身情况的方法。

在一个ISMS中，语境建立、风险评估、风险处置计划制定和风险接受是其“规划”阶段的全部。在

此ISMS的“实施”阶段．依据风险处置计划，实施将风险降低到可接受水平所需的行动手1l控制措施。在

此

ISMS的“检查”阶段，管理者将根据事。件和环境变化来确定风险评估和风险处置修订的需要。在“处

置”阶段，执行所需的任何行动，包括风险管理过程的再·次应用。

话境建立

风险制自

H”由由

rJh啦分析

风

风险识别

险

风

除l肮

风险估算

审评与视

I_--------.J.-------－」

沟

通

风险评价

否

风险决策点1

评估是否满意

同

〉也

风险处置

－－－寸－－－

否

风险决策点2

处坦是否满意

是

风险接受

第一次或后续运代的终点

图1信息安全凤险管理过程

表1总结了与ISMS过程的四个阶段相关的信息安全风险管理活动。

4

GB/'f31722-2015/ISO/IEC27005:2008

表1ISMS和信息安全凤险管理过程对照表

IS\\!IS过程

信息安全风险管理过程

i吾境建立

险评估

风

规划

风险处置计划制定

风险接受

实施风险处置汁划实施

检查持续的风险监视与评审

信息安全风险管理过程保持与改进

处主E

7i吾境建立

7.1总体考虑

输入：与信息安全风险管理语境建立相关的所有关于组织的信息。

动作：宜建立信息安全风险管理的语境，包括设定信息安全风险管理所必要的基本准则（7.2），确定

其范围和边界（7.剖，并建立运行信息安全风｜监管理的一个适当组织（7.4）。

实施指南：

确定信息安全风险管理的目的是必不可少的，因为这会影H向整个过程，尤其是语境建立。目的司

以是：

•支持ISMS;

•遵从法律和证明尽职；

•准备业务持续性计划；

•准备事件响应计划；

•描述产品、服务或机制的信息安全要求。

支持ISMS所需的语境建立要素的实施指南在7.2、7.3和7.4啡’进一步讨论。

注：GB/T22080没有使用术语气吾境”。然而，第7］宫的所有内容都与GB/T22080中规定的“确定ISMS的范固和1

边界”［4.2.1a）］＂确定JStvlS方帝！”［4.2.1b）］和“确定风险评估方法”［4.2.1c）］要求有关。

输出：对信息安全风险管理过程的基本准则、范围和｜边界以及组织的规定。

7.2基本准则

根据风险管理的范围和目标，可应用不同的方法。对于每次迭代．其方法可能是不同的。

宜选择或开发一个适当的风险管理方法来确立诸如风险评价准则、影响准则、风险接受准则等基本

准则。

另外，组织宜评估下述工作的必要资源是否可用：

•执行风险评估．建立风险处置讨划；

•确定并实施策略和规程，包括实施所选的控制措施；

•监视控制措施；

•监视信息安全风险管理过程。

注：见GB/T22080-2008中5.2.l有关实施和｜运行IStvIS的资源供给。

风险评价准则

5

GB/'I'31722-2015/ISO/IEC27005:2008

宜通过考虑如下因素，开发风险评价准则来评价组织的信息安全风险：

•业务信息过程的战略价值；

•所涉及信息资产的关键性；

•法律法规和规章制度的要求，以及合同义务；

•可用性、保密性和l完整性对运营和业务的重要性；

•利益相关方的期望和观点，以及对信誉和和名誉的负面结果。

另外，风险评价准则可被用于规定风险处置的优先级。

影响准则

宜通过考虑如下因素，»＼信息安全事态给组织带来的损害程度或代价的角度来开发和规定影响

准则：

•受影响的信息资产的级别；

•破坏信息安全（例如，保密性、完整性和可用性的丧失）；

•受损的运行（内部或第三方的）；

•业务和财务价值的损失；

•计划中断和最终期限；

•名誉损害，

•违反法律法规、规章制度或合同要求。

注：见GB/T22080-2008中4.2.1d)4）有关识别丧失保密性、完整性和司用性的影响准则。

风险接受准则

宜开发和规定风险接受准则。风险接受准则通常取决于组织的方针策略、目标和利益相关方的

利益。

组织宜对风险接受水平确定其自身的尺度。在开发中宜考虑以下因素．

•对于一个期望的风险目标水平，风险接受准则可能包括多个阔值，但允许高级管理者在界定的

环境下接受高于这一水平的风险；

•风险接受准则可能表示为估算收益（或其他商业利益）与估算风险的比率，

•不同的风险接受准则可能适用于不同类别的风险，例如．不符合法律法规或规章制度的风险可

能不被接受，然而，如果高风险的接受作为一项合同要求有所规定，则可能允许接受高风险；

•风险接受准则可能包括对将来附加处置的要求，例如，如果批准并承诺在确定的时间内采取行

动将风险降到可接受水平，则此风险可能被接受。

根据风险预计存在时间的长短，例如，风险可能与临时或短期的活动有关，风险接受准则可能不同。

风险接受准则的建立宜考虑以下因素：

•业务准则；

•法律法规和规章制度方面；

•:IE行；

•技术；

•财务；

•社会和人道主义因素。

注：风险接受准则对应于GB/T22080-2008中4.2.lc)2）规定的“制定接受风险的fltJHJ.识别可接受的风险级

另fj"•

更多信息可参见附录A。

7.3范围和边界

组织宜确定信息安全风险管理的范围和边界。

6

GB/'f31722-2015/ISO/IEC27005:2008

信息安全风险管理过程的范围需要被确定，以确保所有相关的资产在风险评估中都被考虑到。此

外，边界也需要被识别见GB/T22080-2008中4.2.1a）.以便考虑到通过这些边界可能引起的风险。

宜收集组织的相关信息，以决定其运营所处环境及其与信息安全风险管理过程的关联。

当确定范围和边界时，组织宜考虑以下信息·

•组织的战略性业务目标、战略和策略；

•业务过程；

•组织的功能和结构；

•适用于组织的法律法规和规章制度以及合同要求；

•组织的信息安全方针；

•组织的整体风险管理方法；

•信息资产；

•组织场所及其地理特征；

•影响组织的制约因素；

•利益相关方的期望；

•社会文化环境；

•接口（即与所处环境的信息交换）。

此外，组织宜对从范围中的任何排除提供正当理由。

风险管理范围的例子可能是某个IT应用、IT基础设施、某个业务过程或组织的某个界定部分。

注：信息安全风险管理的范倒和边界与GB/T22080-2008中4.2.1a）要求的ISMS范阁和边界有关。

更多信息可参见附录A。

7.4信息安全风险管理机构

宜建立并保持信息安全风险管理过程的机构及其职责。该机构的主要角色和职责虫II下：

•开发适用于组织的信息安全风险管理过程；

•识别和｜分析利益相关者；

•确定组织内部和外部所有相关方的角色和职责；

•建立组织和利益相关方之间所需要的联系．以及与组织高层风险管理功能（例如，运营风险管

理）的接口和l与其他相关项目或活动的接口；

•确定决策升级路径；

•规范要保存的记录。

该机构宜得到适当的组织管理者的批准。

注：GB/T22080要求确定并提供建立、实施、运行、路视、评审、保持和1改进JSfv'IS所需旨的资源GB/T22080-2008中

5.2.la）。风险管理运行机构可被看作GB/T22080所要求的资源之一。

8信息安全凤险评估

8.1信息安全凤险评估总体描述

注：在GB/T22080巾，风险评估活动被称为过程。

输入：为信息安全风险管理过程而建立的基本准则、范围和l边界以及组织。

动作：宜识别风险，量化或定性地描述风险，并按照风险评价准则和组织相关目标按优先顺序排列

风险。

实施指南：

风险是有害事态发生所带来的后果与该事态发生的可能性的组合。风险评估量化或定性地描述凤

7

GB/'I'31722-2015/ISO/IEC27005:2008

险，并使管理者能根据其感知的严重性或其他已建立的准则按优先顺序排序风险。

风险评估幽以下活动组成：

•风险分析（8.2）包括：

一一－风险识别（8.2.1);

一一风险估算（8.2.2）。

•风险评价（8.3）。

风险评估确定信息资产的价值，识别存在（或可能存在）的适用威胁和脆弱性，识别现有的控制措施

及其对巳识别风险的效果．确定潜在的后果，最后，按优先顺序排列所得出的风险，并按照语境建立时确

定的风险评价准则评定等级。

风险评估通常进行两次〈或多次）迭代。首先．进行高层评估来识别潜在的高风险，作为进一步评估

的根据。下一次迭代可能对初始迭代所揭示的潜在高风险做进一步的深入考虑。如果这还不能提供足

够的信息来评估风险，那么将会进行更加细致的分析，这可能是针对整个范围的某些部分．还可能是使

用一种不同的方法。

由组织基于其风险评估的目标和对象，自行选择其自身的风险评估方法。

有关信息安全风险评估方法的讨论可参见附录E。

输出：按照风险评价准则，按优先顺序排列的巳评估风险的列表。

8.2凤险分析

8.2.1凤险i.R别

8.2.1.1凤险识别介绍

风险识别的目的是决定司能发生什么会造成潜在损失，并深入了解损失司能是如何、在何地、为什

么发生。8.2.1的下列子条款所描述的步骤将会为风险估算活动收集输入数据。

注：以下条款中揣述的滔iYJ可能会根据所用方法的不同而按不同顺序进行。

8.2.1.2资产识别

输入：耍进行风险评估的范围和边界，包括责任人、地点、功能等要素的清单。

动作：宜识别已确定范围内的资产［对应GB/T22080-2008中4.2.ld)l）］。

实施指南：

资产是对组织有价值的任何东西，因此需要保护。资产识别时宜牢记，信息系统包含的不仅仅是硬

件和软件。

资产识别宜在能为风险评估提供足够信息的适当详细程度上展开。资产识别的详细程度将影响在

风险评估中所收集信息的总量。这种程度可在风险评估的进一步迭代中不断细化。

宜识别每项资产的责任人，以提供资产的责任和可核查性。资产责任人可能不具有资产的财产所

有权，但适当时对其生产、开发、维护、使用和安全负有责任。资产责任人通常是最适合决定资产的组织

价值的人选（见8.2.2.2中的资产估价）。

评审边界是被规定为信息安全风险管理过程所管理的组织资产边界。

与信息安全有关的资产识别和估价的更多信息可参见附录B.

输出：要进行风险管理的资产列表、与资产相关的业务过程及其相关性的列表。

8.2.1.3威胁识别

输入：从事件评审、资产责任人、用户以及其他来讲、获取的有关威胁的信息．包括外部的威胁目录。

动作：宜识别威胁及其来源［对应GB/T22080-2008r1:14.2.1d)2）］。

8

GB/'f31722-2015/ISO/IEC27005:2008

实施指南：

威胁有可能损害资产，诸如信息、过程、系统乃至组织。威胁可能源自自然或人类，可能是意外的或

故意的。意外的和故意的威胁源都宜进行识别。威胁可能起因子组织的内部或外部。一般地宜先按类

型（例如，来授权行为、物理损害、技术故障〉识别威胁，然后在必要时，在所识别的一般类型中识别单个

威胁。这意在于不但没有威胁被忽略，包括意料之外的，而且所需的工作量也是有限的。

一些威胁可能影响多项资产。在这种情况下，威胁可能导致不同的影响，这取决于受影响的资产。

用于识别威胁和估算其发生可能性（见8.2.2.3）的输入可以从资产责任人或使用者、人力资源职

员、设施管理人员、信息安全专家、物理安全专家、法律部门及包合法律机构的其他组织、气象权威部门、

保险公司和国家政府机关等获取。对待威胁要考虑环境和文化方面。

在当前的评估中，宜考虑来自事件和以往威胁评估的内部经验。查阅其他相关威胁目录（可能是针

对某个组织或业务的）来完成一般威胁列表可能是值得的。威胁目录和统计数据，可以来自工业部门、政

府机关、法律机构、保险公司等。

当使用威胁目录或先前的威胁评估结果时，宜意识到相关威胁是持续变化的，特别是当业务环境或

信息系统发生变化时。

威胁类型的更多信息可参见附录c.

输出：识别了威胁类型和来源的威胁列表。

8.2.1.4现有控制措施识别

输入：控制措施说明书、风险处置实施计划。

动作：宜识别现有的和已计划的控制措施。

实施指南：

宜识别现有的控制措施以避免不必要的工作或成本，例如，重复的控制措施。此外，识别现有的控

制措施时，宜进行检查以确保控制措施在正确地工作一一参照已有的ISMS审核报告将会减少这项任

务所花费的时间。如果控制措施不能按所期望地进行工作，这可能引起脆弱性。为有效处理已识别的

风险，宜考虑巳选的控制措施（或战略）运行失效的情况以及为此需要补充的控制措施。根据

GB/T22080，在ISMS中，这是由控制措施有效性的测量来支持。估计控制措施有效性的一个途径就

是查看其是否降低了威胁可能性和利用脆弱性的容易度．或者事件的影Ill句。管理评审和审核报告也提

供有关现有控制措施有效性的信息。

按照风险处置实施计划将要实施的控制措施宜与已实施的控制措施以同样的方式来考虑。

一个现有的或计划的控制措施司能被识别为无效的，或不充分的，或不合理的。如果不合理或不充

分，宜检查该控制措施来确定其是否宜被移除，由另一个更适合的控制措施代替，或者比如出于戚本原

因而仍被保留。

以下活动能有助于识别现有的或计划的控制措施：

•评审包含控制措施相关信息的文件（例如，风险处置实施计划〉。如果信息安全管理的过程已

被良好地文件化，那么，所有现有的或计划的控制措施及其实施状态将会是可获得的；

•就考虑到的信息过程或信息系统实际上实施了哪些控制措施，与信息安全负责人（例如．信息

安全官和信息系统安全宫，物业经理或运营经理）和用户联系；

•现场评审物理控制措施，将已实施的控制措施与直被实施的控制措施列表进行比较，并就已实

施的控制措施是否正确有效地发挥作用进行检查；

•评审内部审核结果。

输出：所有现有的和计划的控制措施及其实施和使用状态的列表。

8.2.1.5脆弱性识别

输入：巳知威胁的列表、资产和现有控制措施的列表。

9

GB/'I'31722-2015/ISO/IEC27005:2008

动作：宜识别可被威胁利用而对资产或组织造成损害的脆弱性［对应GB/T22080-2008中4.2.lcl)3）］。

实施指南：

可在以下方而识别脆弱性：

•组织；

•过程和规程；

•管理流程，

•人员；

•物理环境；

•信息系统配置；

•硬件、软件或通信设备；

•对外部各方的依赖。

脆弱性本身不会产生危害．只有被威胁利用时才会产生危害。没有相应威胁的脆弱性可能不需要

实施控制措施，但是宜关注和监视其变化。宜注意的是，一个没有被正确实施或有缺陷的控制措施，或

者没有被正确使用的控制措施，其本身可能就是一个脆弱性。一个控制措施可能是有效的或无效的，这

取决于其运行的环境。反之，没有相应脆弱性的威胁不会导致风险。

脆弱性可能与以某种方式或为某种目的而使用的资产特性有关，而不是资产被购买或制造当初的

意图。需要考虑不同来游引起的脆弱性，例如，资产内在或外在的。

脆弱性和脆弱性评估方法的示例可参见附录D。

输出：与资产、威胁和控制措施有关的脆弱性列表、待评审的与任何已识别的威胁无关的脆弱性

列表。

8.2.1.6后果识别

输入：资产列表、业务过程列表、与资产相关的威胁和脆弱性以及相关性列表（如果有〉。

动作：宜识别因资产丧失保密性、完整性和可用性而可能造成的后果［见GB/T22080-2008中

4.2.1d)<b）］。

实施指南：

后果可能是丧失有效性、有害运行状态、业务损失、声誉破坏等。

此项活动识别可能由某事件场景对组织造成的损害或后果。一个事件场景是对在一个信息安全事

件中一个威胁利用某个脆弱性或一组脆弱性的描述（见GB/T22081第13章）。事件场景的影响是依

据在语境建立活动中所定义的影响准则来确定的。它可能影响到一项或多项资产，或者资产的一部分。

因此．可以按资产的财务成本和资产破坏或损害时的业务影响，给资产赋值。后果可能是临时性的，也

可能是永久的（当资产被毁灭时）。

注：GB/T22080把事件场景的发生描述为··安全失效”。

组织宜从以下方面（但不限于）识别事件场景对运行产生的后果：

•调查和修复时间；

•（工作）时间损失；

•机会丧失；

•健康和｜安全；

•修复损伤所需专业技能的财务戚本；

•形象和信誉。

技术脆弱性的评估细节可见B.3影H向评估。

输出：与资产和业务过程相关的事件场景及其后果的列表。

10

GB/'f31722-2015/ISO/IEC27005:2008

8.2.2风险估算

8.2.2.1凤险估算方法

风险分析可在不同详尽程度下进行，这取决于资产的关键性、已知脆弱性的程度和组织内以前发生

的事件。风险估算方法可以是定性的或定量的，或者是两者组合，这取决于所处环境。在实践中，通常

首先使用定性估算，以获取风险级别的总体情况，并发现主要风险。然后，在必要时．对主要风险进行更

详尽的或定量的分析，因为定性分析通常没有定量分忻那么复杂和昂贵。

分析的形式宣符合建立语境时所制定的风险评价准则。

以下描述估算方法的更多细节：

a）定性估算：

定性估算使用修饰性的尺度来描述潜在后果的严重程度（例如，低、巾和高），以及这些后果发生的

可能性。定性估算的优点是易于所有相关人员理解．而快点是对尺度主观选择的依赖。

这些尺度能被调整以适合所处环境，不同风险可采用不同的尺度描述。定性估算可被用于：

•作为一个初步的筛选活动，以识别需要更详细分忻的风险；

•当这种分析适于作决策时；

•当数值数据或资源不足以做定量估算时。

定性分析直使用确凿的司用信息和数据。

b）定量