信息技術(shù)安全風(fēng)險(xiǎn)評(píng)估與控制指南一、應(yīng)用背景與適用情境信息技術(shù)安全風(fēng)險(xiǎn)評(píng)估是組織保障信息系統(tǒng)穩(wěn)定運(yùn)行、防范安全事件的核心管理活動(dòng)。本指南適用于以下場(chǎng)景：信息系統(tǒng)全生命周期管理：在系統(tǒng)規(guī)劃、開發(fā)、上線、運(yùn)維、廢棄等各階段開展風(fēng)險(xiǎn)評(píng)估，提前識(shí)別潛在風(fēng)險(xiǎn)；合規(guī)性要求滿足：為應(yīng)對(duì)網(wǎng)絡(luò)安全等級(jí)保護(hù)、數(shù)據(jù)安全法、個(gè)人信息保護(hù)法等法規(guī)強(qiáng)制評(píng)估需求提供規(guī)范流程；重大變更前評(píng)估：系統(tǒng)架構(gòu)調(diào)整、業(yè)務(wù)流程重組、新技術(shù)應(yīng)用（如云計(jì)算、）前，分析變更引入的新風(fēng)險(xiǎn)；安全事件復(fù)盤：發(fā)生數(shù)據(jù)泄露、系統(tǒng)入侵等事件后，追溯風(fēng)險(xiǎn)管控漏洞，完善控制措施；常態(tài)化風(fēng)險(xiǎn)管理：定期（如每季度或半年）開展風(fēng)險(xiǎn)評(píng)估，動(dòng)態(tài)跟蹤風(fēng)險(xiǎn)變化，保證風(fēng)險(xiǎn)等級(jí)可控。二、核心操作步驟（一）評(píng)估準(zhǔn)備階段目標(biāo)：明確評(píng)估范圍、組建團(tuán)隊(duì)、制定計(jì)劃，為后續(xù)工作奠定基礎(chǔ)。明確評(píng)估范圍與邊界確定待評(píng)估的信息系統(tǒng)（如核心業(yè)務(wù)系統(tǒng)、辦公OA系統(tǒng)、云平臺(tái)等）、涉及的資產(chǎn)類型（硬件設(shè)備、軟件應(yīng)用、數(shù)據(jù)資源、人員等）及業(yè)務(wù)場(chǎng)景（如用戶注冊(cè)、數(shù)據(jù)傳輸、系統(tǒng)備份等）。示例：評(píng)估范圍“企業(yè)核心交易系統(tǒng)V2.0”，涵蓋服務(wù)器、數(shù)據(jù)庫(kù)、前端應(yīng)用及客戶交易數(shù)據(jù)，涉及“用戶下單-支付-發(fā)貨”全流程。組建評(píng)估團(tuán)隊(duì)角色分工：項(xiàng)目負(fù)責(zé)人*（統(tǒng)籌協(xié)調(diào)，把控進(jìn)度）；安全專家*（技術(shù)風(fēng)險(xiǎn)識(shí)別，如漏洞掃描、滲透測(cè)試）；業(yè)務(wù)負(fù)責(zé)人*（業(yè)務(wù)場(chǎng)景梳理，評(píng)估風(fēng)險(xiǎn)對(duì)業(yè)務(wù)的影響）；IT運(yùn)維人員*（系統(tǒng)配置、資產(chǎn)清單提供）；合規(guī)專員*（對(duì)照法規(guī)要求檢查合規(guī)性）。制定評(píng)估計(jì)劃內(nèi)容包括：評(píng)估目標(biāo)、時(shí)間節(jié)點(diǎn)（如識(shí)別階段X月X日-X月X日）、參與人員、方法工具（如訪談法、檢查表法、漏洞掃描工具）、輸出成果（如風(fēng)險(xiǎn)清單、處置報(bào)告）及審批流程。（二）風(fēng)險(xiǎn)識(shí)別階段目標(biāo)：全面梳理信息系統(tǒng)面臨的威脅及自身存在的脆弱性，明確風(fēng)險(xiǎn)來(lái)源。資產(chǎn)梳理與分類依據(jù)《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》（GB/T20984），對(duì)資產(chǎn)進(jìn)行分類（如數(shù)據(jù)、軟件、硬件、人員、服務(wù)），并標(biāo)注重要性等級(jí)（核心、重要、一般）。輸出：《信息技術(shù)資產(chǎn)清單》（見“關(guān)鍵工具模板”）。威脅識(shí)別通過(guò)歷史事件分析、行業(yè)案例研究、威脅情報(bào)（如CVE漏洞庫(kù)、APT攻擊報(bào)告）等方式，識(shí)別可能對(duì)資產(chǎn)造成危害的內(nèi)部或外部威脅。常見威脅類型：人為威脅：黑客攻擊、內(nèi)部越權(quán)操作、社會(huì)工程學(xué)詐騙；環(huán)境威脅：硬件故障、斷電、自然災(zāi)害（如火災(zāi)、洪水）；管理威脅：安全策略缺失、人員操作失誤、第三方供應(yīng)商管理漏洞。脆弱性識(shí)別結(jié)合資產(chǎn)配置、系統(tǒng)日志、安全掃描結(jié)果，識(shí)別資產(chǎn)中存在的弱點(diǎn)，可能被威脅利用導(dǎo)致風(fēng)險(xiǎn)。脆弱性類型：技術(shù)脆弱性：系統(tǒng)未打補(bǔ)丁、弱口令、端口開放過(guò)度、數(shù)據(jù)加密缺失；管理脆弱性：安全培訓(xùn)不到位、應(yīng)急響應(yīng)機(jī)制不完善、訪問控制策略不合理；物理脆弱性：機(jī)房門禁失效、設(shè)備無(wú)備份、線路裸露。風(fēng)險(xiǎn)點(diǎn)初步關(guān)聯(lián)將資產(chǎn)、威脅、脆弱性進(jìn)行關(guān)聯(lián)，形成“資產(chǎn)-威脅-脆弱性”組合，初步判斷潛在風(fēng)險(xiǎn)點(diǎn)。示例：“客戶交易數(shù)據(jù)（資產(chǎn)）面臨外部黑客攻擊（威脅），因數(shù)據(jù)庫(kù)未做脫敏處理（脆弱性），存在數(shù)據(jù)泄露風(fēng)險(xiǎn)?！保ㄈ╋L(fēng)險(xiǎn)分析與評(píng)價(jià)階段目標(biāo)：量化風(fēng)險(xiǎn)發(fā)生的可能性及影響程度，確定風(fēng)險(xiǎn)等級(jí)，明確優(yōu)先處置順序?？赡苄苑治龈鶕?jù)威脅發(fā)生頻率、脆弱性被利用難度，評(píng)估風(fēng)險(xiǎn)發(fā)生的可能性，分為5級(jí)：等級(jí)描述示例5（極高）威脅幾乎必然被利用，脆弱性明顯系統(tǒng)默認(rèn)口令未修改，面臨高頻暴力破解4（高）威脅較可能被利用，脆弱性易識(shí)別未部署防病毒軟件，惡意代碼感染風(fēng)險(xiǎn)高3（中）威脅可能被利用，脆弱性需一定條件員工安全意識(shí)薄弱，可能釣魚郵件2（低）威脅利用難度大，脆弱性隱蔽服務(wù)器配置了復(fù)雜口令，但未定期更換1（極低）威脅利用可能性極小，脆弱性幾乎不存在物理隔離系統(tǒng)，無(wú)外部網(wǎng)絡(luò)連接影響程度分析從“保密性（C）”“完整性（I）”“可用性（A）”三方面評(píng)估風(fēng)險(xiǎn)發(fā)生對(duì)業(yè)務(wù)的影響，分為5級(jí)：等級(jí)描述業(yè)務(wù)影響示例5（極高）導(dǎo)致核心機(jī)密數(shù)據(jù)泄露/系統(tǒng)不可用，業(yè)務(wù)中斷>24小時(shí)客戶支付數(shù)據(jù)泄露，企業(yè)面臨巨額罰款及聲譽(yù)危機(jī)4（高）導(dǎo)致重要數(shù)據(jù)泄露/系統(tǒng)功能嚴(yán)重受損，業(yè)務(wù)中斷4-24小時(shí)訂單系統(tǒng)癱瘓，無(wú)法處理新訂單，造成直接經(jīng)濟(jì)損失3（中）導(dǎo)致一般數(shù)據(jù)泄露/系統(tǒng)部分功能異常，業(yè)務(wù)中斷1-4小時(shí)辦公OA系統(tǒng)無(wú)法訪問，影響內(nèi)部審批效率2（低）對(duì)數(shù)據(jù)、系統(tǒng)影響輕微，業(yè)務(wù)基本不受影響非核心頁(yè)面樣式錯(cuò)亂，不影響功能使用1（極低）幾乎無(wú)影響，業(yè)務(wù)正常運(yùn)行服務(wù)器日志偶爾報(bào)錯(cuò)，可自動(dòng)恢復(fù)風(fēng)險(xiǎn)等級(jí)評(píng)價(jià)采用“可能性×影響程度”計(jì)算風(fēng)險(xiǎn)值（R=P×L），對(duì)照風(fēng)險(xiǎn)矩陣確定風(fēng)險(xiǎn)等級(jí)：風(fēng)險(xiǎn)值風(fēng)險(xiǎn)等級(jí)處置優(yōu)先級(jí)20-25極高立即處置15-19高優(yōu)先處置8-14中計(jì)劃處置1-7低可接受/暫緩處置輸出：《風(fēng)險(xiǎn)評(píng)價(jià)與處置計(jì)劃表》（見“關(guān)鍵工具模板”）。（四）風(fēng)險(xiǎn)處置階段目標(biāo)：針對(duì)不同等級(jí)風(fēng)險(xiǎn)，制定并落實(shí)控制措施，降低風(fēng)險(xiǎn)至可接受范圍。處置策略選擇風(fēng)險(xiǎn)規(guī)避：停止可能導(dǎo)致風(fēng)險(xiǎn)的業(yè)務(wù)或活動(dòng)（如關(guān)閉不必要的服務(wù)端口、淘汰不合規(guī)系統(tǒng)）；風(fēng)險(xiǎn)降低：實(shí)施控制措施減少風(fēng)險(xiǎn)可能性或影響（如部署防火墻、定期數(shù)據(jù)備份、開展安全培訓(xùn)）；風(fēng)險(xiǎn)轉(zhuǎn)移：通過(guò)外包、保險(xiǎn)等方式將風(fēng)險(xiǎn)部分轉(zhuǎn)移（如購(gòu)買網(wǎng)絡(luò)安全保險(xiǎn)、將系統(tǒng)運(yùn)維外包給合規(guī)服務(wù)商）；風(fēng)險(xiǎn)接受：對(duì)低風(fēng)險(xiǎn)或處置成本過(guò)高的風(fēng)險(xiǎn)，保留但需監(jiān)控（如記錄風(fēng)險(xiǎn)點(diǎn)，定期復(fù)核）。制定處置措施針對(duì)高風(fēng)險(xiǎn)及以上風(fēng)險(xiǎn)，明確具體措施、責(zé)任人、完成時(shí)限及驗(yàn)收標(biāo)準(zhǔn)。示例：風(fēng)險(xiǎn)點(diǎn)：“數(shù)據(jù)庫(kù)存在未修復(fù)的高危漏洞（CVE-2023-），可能被黑客利用獲取數(shù)據(jù)”；處置措施：“1周內(nèi)由安全專家*完成漏洞修復(fù)，驗(yàn)證漏洞不存在；3個(gè)月內(nèi)部署數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)，實(shí)時(shí)監(jiān)控異常訪問”；責(zé)任人：安全專家、IT運(yùn)維；完成時(shí)限：X年X月X日。措施執(zhí)行與跟蹤責(zé)任人按計(jì)劃落實(shí)措施，項(xiàng)目負(fù)責(zé)人*每周跟蹤進(jìn)度，保證措施有效執(zhí)行；執(zhí)行完成后收集驗(yàn)收證據(jù)（如漏洞修復(fù)截圖、培訓(xùn)簽到表），形成閉環(huán)。（五）監(jiān)控與評(píng)審階段目標(biāo)：動(dòng)態(tài)跟蹤風(fēng)險(xiǎn)變化，保證處置措施持續(xù)有效，實(shí)現(xiàn)風(fēng)險(xiǎn)閉環(huán)管理。定期風(fēng)險(xiǎn)再評(píng)估每季度或半年開展一次全面風(fēng)險(xiǎn)評(píng)估，或在系統(tǒng)變更、安全事件后及時(shí)評(píng)估，更新風(fēng)險(xiǎn)清單及處置計(jì)劃。措施有效性驗(yàn)證對(duì)已實(shí)施的處置措施進(jìn)行效果檢查，如“防火墻規(guī)則是否攔截惡意流量”“員工釣魚郵件測(cè)試通過(guò)率是否提升”。風(fēng)險(xiǎn)報(bào)告與溝通向管理層輸出《風(fēng)險(xiǎn)評(píng)估報(bào)告》，內(nèi)容包括風(fēng)險(xiǎn)等級(jí)分布、處置進(jìn)展、剩余風(fēng)險(xiǎn)及改進(jìn)建議；定期向業(yè)務(wù)部門溝通風(fēng)險(xiǎn)狀態(tài)，保證全員參與風(fēng)險(xiǎn)管理。三、關(guān)鍵工具模板模板1：信息技術(shù)資產(chǎn)清單資產(chǎn)編號(hào)資產(chǎn)名稱資產(chǎn)類型（數(shù)據(jù)/軟件/硬件/人員/服務(wù)）所在位置/系統(tǒng)責(zé)任人業(yè)務(wù)重要性（核心/重要/一般）數(shù)據(jù)分類（公開/內(nèi)部/秘密/機(jī)密）備注S001核心交易數(shù)據(jù)庫(kù)數(shù)據(jù)數(shù)據(jù)中心服務(wù)器A張*核心秘密存儲(chǔ)客戶交易記錄S002交易系統(tǒng)前端應(yīng)用軟件應(yīng)用服務(wù)器B李*核心內(nèi)部Java開發(fā)，版本V2.1H003數(shù)據(jù)庫(kù)服務(wù)器硬件數(shù)據(jù)中心機(jī)柜C王*核心-HPProLiant，操作系統(tǒng)LinuxP004客戶服務(wù)人員人員全國(guó)各分支機(jī)構(gòu)趙*重要-負(fù)責(zé)客戶咨詢與投訴處理模板2：威脅與脆弱性識(shí)別表資產(chǎn)編號(hào)資產(chǎn)名稱威脅類型（人為/環(huán)境/管理）威脅描述脆弱性描述現(xiàn)有控制措施識(shí)別人*日期S001核心交易數(shù)據(jù)庫(kù)人為（黑客攻擊）外部黑客利用SQL注入漏洞獲取數(shù)據(jù)數(shù)據(jù)庫(kù)未做輸入驗(yàn)證，存在SQL注入漏洞部署WAF防火墻，限制數(shù)據(jù)庫(kù)外網(wǎng)訪問陳*2023-10-08S002交易系統(tǒng)前端應(yīng)用管理（人員操作失誤）運(yùn)維人員誤操作刪除關(guān)鍵配置文件配置文件未做版本控制，無(wú)備份使用Git進(jìn)行配置版本管理，每日增量備份劉*2023-10-09H003數(shù)據(jù)庫(kù)服務(wù)器環(huán)境（硬件故障）服務(wù)器硬盤損壞導(dǎo)致數(shù)據(jù)丟失硬盤未做RD冗余，無(wú)實(shí)時(shí)備份配置RD5，每周全量+每日增量備份楊*2023-10-10模板3：風(fēng)險(xiǎn)評(píng)價(jià)與處置計(jì)劃表風(fēng)險(xiǎn)點(diǎn)編號(hào)風(fēng)險(xiǎn)點(diǎn)描述可能性等級(jí)（1-5）影響程度等級(jí)（1-5）風(fēng)險(xiǎn)值（P×L）風(fēng)險(xiǎn)等級(jí)（極高/高/中/低）處置策略具體措施責(zé)任人*完成時(shí)限驗(yàn)收標(biāo)準(zhǔn)當(dāng)前狀態(tài)（未開始/進(jìn)行中/已完成）R001數(shù)據(jù)庫(kù)SQL注入漏洞被利用，導(dǎo)致數(shù)據(jù)泄露5525極高風(fēng)險(xiǎn)降低1.3天內(nèi)修復(fù)高危漏洞；2.部署數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)陳、吳2023-10-15漏洞掃描通過(guò)，審計(jì)系統(tǒng)上線運(yùn)行進(jìn)行中R002運(yùn)維人員誤操作導(dǎo)致配置文件丟失3412中風(fēng)險(xiǎn)降低1.開展運(yùn)維操作規(guī)范培訓(xùn)；2.配置文件變更需雙人審批劉、周2023-10-20培訓(xùn)考核通過(guò)率100%，審批流程執(zhí)行未開始R003服務(wù)器硬盤損壞導(dǎo)致數(shù)據(jù)丟失2510中風(fēng)險(xiǎn)降低1.升級(jí)RD級(jí)別至RD6；2.每日異地備份楊、鄭2023-10-18RD配置完成，備份測(cè)試通過(guò)進(jìn)行中四、重要提示全面性與針對(duì)性結(jié)合：風(fēng)險(xiǎn)識(shí)別需覆蓋所有關(guān)鍵資產(chǎn)和業(yè)務(wù)場(chǎng)景，避免“重技術(shù)、輕管理”；對(duì)核心業(yè)務(wù)系統(tǒng)（如支付、數(shù)據(jù)存儲(chǔ)）應(yīng)重點(diǎn)評(píng)估。動(dòng)態(tài)調(diào)整原則：當(dāng)系統(tǒng)架構(gòu)、業(yè)務(wù)流程、外部環(huán)境（如新法規(guī)出臺(tái)