網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)化工具手冊(cè)前言本手冊(cè)旨在規(guī)范網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)評(píng)估的流程與方法，為組織提供一套標(biāo)準(zhǔn)化、可操作的風(fēng)險(xiǎn)評(píng)估工具，幫助系統(tǒng)識(shí)別資產(chǎn)面臨的威脅與脆弱性，科學(xué)計(jì)算風(fēng)險(xiǎn)等級(jí)，制定有效的處置措施，提升整體安全防護(hù)能力。本手冊(cè)適用于各類企業(yè)、事業(yè)單位及部門的信息安全風(fēng)險(xiǎn)評(píng)估工作，可作為信息安全管理人員、IT運(yùn)維人員、審計(jì)人員及第三方評(píng)估機(jī)構(gòu)的工作指引。手冊(cè)編制參考ISO27005、GB/T20984-2022《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估方法》、GB/T22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》等標(biāo)準(zhǔn)，結(jié)合行業(yè)實(shí)踐總結(jié)而成。目錄第一章總則1.1術(shù)語(yǔ)定義1.2評(píng)估原則第二章評(píng)估準(zhǔn)備階段2.1評(píng)估團(tuán)隊(duì)組建2.2評(píng)估范圍與計(jì)劃制定2.3背景信息收集第三章資產(chǎn)識(shí)別與分析3.1資產(chǎn)分類與梳理3.2資產(chǎn)價(jià)值評(píng)估第四章威脅識(shí)別與分析4.1威脅分類與來(lái)源4.2威脅可能性分析第五章脆弱性識(shí)別與分析5.1脆弱性分類5.2脆弱性嚴(yán)重程度評(píng)估第六章現(xiàn)有控制措施評(píng)估6.1控制措施梳理6.2控制措施有效性分析第七章風(fēng)險(xiǎn)計(jì)算與評(píng)級(jí)7.1風(fēng)險(xiǎn)計(jì)算方法7.2風(fēng)險(xiǎn)等級(jí)劃分第八章風(fēng)險(xiǎn)處置建議8.1處置策略選擇8.2處置措施制定與優(yōu)先級(jí)排序第九章報(bào)告編制與輸出9.1報(bào)告內(nèi)容框架9.2報(bào)告審核與分發(fā)第十章附錄10.1常用表格模板10.2參考標(biāo)準(zhǔn)清單10.3常見問(wèn)題解答第一章總則1.1術(shù)語(yǔ)定義資產(chǎn)：組織及所承載的信息、系統(tǒng)、硬件、軟件、人員、服務(wù)等具有價(jià)值的資源。威脅：可能對(duì)資產(chǎn)造成損害的內(nèi)外部因素（如黑客攻擊、自然災(zāi)害、內(nèi)部誤操作等）。脆弱性：資產(chǎn)本身存在的弱點(diǎn)，可能被威脅利用（如系統(tǒng)漏洞、策略缺失、物理防護(hù)不足等）。風(fēng)險(xiǎn)：威脅利用脆弱性導(dǎo)致資產(chǎn)受損的可能性與影響程度的綜合體現(xiàn)。風(fēng)險(xiǎn)等級(jí)：根據(jù)風(fēng)險(xiǎn)值劃分的高、中、低級(jí)別，用于指導(dǎo)處置優(yōu)先級(jí)。1.2評(píng)估原則系統(tǒng)性原則：覆蓋資產(chǎn)、威脅、脆弱性全要素，避免遺漏關(guān)鍵環(huán)節(jié)。客觀性原則：基于事實(shí)和數(shù)據(jù)，減少主觀臆斷，評(píng)估過(guò)程可追溯。動(dòng)態(tài)性原則：定期復(fù)評(píng)（建議每年至少1次），或在資產(chǎn)、業(yè)務(wù)、環(huán)境發(fā)生重大變化時(shí)及時(shí)評(píng)估。保密性原則：評(píng)估過(guò)程中接觸的敏感信息需嚴(yán)格保密，遵守組織保密規(guī)定。第二章評(píng)估準(zhǔn)備階段2.1評(píng)估團(tuán)隊(duì)組建評(píng)估團(tuán)隊(duì)需包含多角色成員，保證專業(yè)性與全面性：組長(zhǎng)：由信息安全管理部門負(fù)責(zé)人（如*工）擔(dān)任，負(fù)責(zé)統(tǒng)籌協(xié)調(diào)、決策爭(zhēng)議。技術(shù)組：由系統(tǒng)運(yùn)維、網(wǎng)絡(luò)工程師、安全工程師組成，負(fù)責(zé)技術(shù)資產(chǎn)識(shí)別、漏洞掃描與分析。業(yè)務(wù)組：由業(yè)務(wù)部門代表（如*工）組成，負(fù)責(zé)業(yè)務(wù)流程梳理、業(yè)務(wù)資產(chǎn)價(jià)值評(píng)估。合規(guī)組：由法務(wù)或合規(guī)人員組成，負(fù)責(zé)評(píng)估依據(jù)標(biāo)準(zhǔn)、合規(guī)性要求核對(duì)。2.2評(píng)估范圍與計(jì)劃制定范圍明確：界定評(píng)估邊界（如覆蓋的業(yè)務(wù)系統(tǒng)、物理區(qū)域、數(shù)據(jù)類型），避免范圍過(guò)大或過(guò)小。示例：“本次評(píng)估覆蓋公司核心業(yè)務(wù)系統(tǒng)（ERP、CRM）、數(shù)據(jù)中心機(jī)房及客戶敏感數(shù)據(jù)（含個(gè)人信息、財(cái)務(wù)數(shù)據(jù)）”。計(jì)劃內(nèi)容：包括評(píng)估目標(biāo)、時(shí)間節(jié)點(diǎn)（如“2024年X月X日-X月X日”）、參與人員、方法工具（如漏洞掃描工具Nessus、訪談提綱）、交付成果（評(píng)估報(bào)告、風(fēng)險(xiǎn)清單）。2.3資料收集組織架構(gòu)：部門設(shè)置、崗位職責(zé)、匯報(bào)關(guān)系。業(yè)務(wù)流程：核心業(yè)務(wù)流程圖（如訂單處理、數(shù)據(jù)流轉(zhuǎn)）、業(yè)務(wù)連續(xù)性要求?，F(xiàn)有安全文檔：安全策略、管理制度、應(yīng)急預(yù)案、漏洞修復(fù)記錄、訪問(wèn)控制策略等。技術(shù)資產(chǎn)清單：網(wǎng)絡(luò)拓?fù)鋱D、服務(wù)器/終端清單、應(yīng)用系統(tǒng)列表、數(shù)據(jù)分類分級(jí)結(jié)果。第三章資產(chǎn)識(shí)別與分析3.1資產(chǎn)分類與梳理根據(jù)屬性將資產(chǎn)分為5類，逐類梳理具體內(nèi)容：資產(chǎn)類別子類示例信息資產(chǎn)數(shù)據(jù)客戶個(gè)人信息、財(cái)務(wù)報(bào)表、文檔安全策略、用戶手冊(cè)、合同軟件資產(chǎn)系統(tǒng)軟件操作系統(tǒng)（WindowsServer、Linux）、數(shù)據(jù)庫(kù)（MySQL、Oracle）應(yīng)用軟件ERP系統(tǒng)、OA系統(tǒng)、辦公軟件（Office）硬件資產(chǎn)網(wǎng)絡(luò)設(shè)備路由器、交換機(jī)、防火墻計(jì)算設(shè)備服務(wù)器、終端PC、移動(dòng)設(shè)備安全設(shè)備IDS/IPS、WAF、堡壘機(jī)人員資產(chǎn)內(nèi)部人員管理員、開發(fā)人員、普通員工外部人員第三方運(yùn)維供應(yīng)商、客戶物理資產(chǎn)場(chǎng)地設(shè)施數(shù)據(jù)中心機(jī)房、辦公區(qū)域介質(zhì)設(shè)備硬盤、U盤、備份tapes3.2資產(chǎn)價(jià)值評(píng)估從保密性（C）、完整性（I）、可用性（A）三個(gè)維度，采用“高（3分）、中（2分）、低（1分）”定性評(píng)分，計(jì)算綜合價(jià)值（C+I+A），據(jù)此劃分資產(chǎn)等級(jí)：重要資產(chǎn)：綜合值7-9分（如核心業(yè)務(wù)系統(tǒng)、客戶敏感數(shù)據(jù)）一般資產(chǎn)：綜合值4-6分（如辦公OA系統(tǒng)、普通終端）次要資產(chǎn)：綜合值1-3分（如測(cè)試環(huán)境、非密文檔）示例：客戶個(gè)人信息資產(chǎn)價(jià)值評(píng)估表評(píng)估維度評(píng)分標(biāo)準(zhǔn)得分保密性(C)未泄露：1分；泄露后影響業(yè)務(wù)：2分；泄露后嚴(yán)重?fù)p害聲譽(yù)/法律風(fēng)險(xiǎn)：3分3完整性(I)輕微缺失不影響業(yè)務(wù)：1分；部分缺失影響業(yè)務(wù)：2分；完全丟失導(dǎo)致業(yè)務(wù)中斷：3分2可用性(A)短時(shí)中斷不影響業(yè)務(wù)：1分；中斷1-4小時(shí)影響業(yè)務(wù)：2分；中斷4小時(shí)以上導(dǎo)致業(yè)務(wù)癱瘓：3分2綜合價(jià)值C+I+A7資產(chǎn)等級(jí)重要資產(chǎn)-第四章威脅識(shí)別與分析4.1威脅分類與來(lái)源根據(jù)來(lái)源與性質(zhì)，威脅可分為以下類型，并識(shí)別具體來(lái)源：威脅類型子類來(lái)源示例人為威脅惡意代碼病毒、勒索軟件、木馬網(wǎng)絡(luò)攻擊DDoS、SQL注入、釣魚郵件內(nèi)部人員操作惡意刪除、越權(quán)訪問(wèn)、誤操作第三方風(fēng)險(xiǎn)供應(yīng)商安全漏洞、服務(wù)中斷自然威脅環(huán)境因素地震、火災(zāi)、洪水設(shè)備故障硬件損壞、斷電、網(wǎng)絡(luò)中斷管理威脅策略缺失未制定訪問(wèn)控制策略、應(yīng)急響應(yīng)計(jì)劃缺失人員能力不足安全意識(shí)薄弱、技能不足4.2威脅可能性分析結(jié)合歷史數(shù)據(jù)、行業(yè)案例、專家判斷，對(duì)威脅發(fā)生可能性進(jìn)行定性評(píng)級(jí)（高、中、低）：高：近2年內(nèi)本組織或同行業(yè)發(fā)生過(guò)，且現(xiàn)有控制措施無(wú)法有效防范（如內(nèi)部員工越權(quán)訪問(wèn)）。中：偶有發(fā)生，或存在潛在條件（如釣魚郵件攻擊，但已部署郵件過(guò)濾系統(tǒng)）。低：極少發(fā)生，或現(xiàn)有控制措施可有效防范（如地震，數(shù)據(jù)中心已容災(zāi)備份）。示例：威脅可能性評(píng)估表威脅名稱威脅類型來(lái)源現(xiàn)有控制措施可能性評(píng)級(jí)勒索軟件攻擊惡意代碼外部黑客終端殺毒、防火墻策略中內(nèi)部員工誤刪除數(shù)據(jù)內(nèi)部人員操作內(nèi)部員工操作權(quán)限控制、數(shù)據(jù)備份低數(shù)據(jù)中心斷電設(shè)備故障電力系統(tǒng)故障UPS備用電源、發(fā)電機(jī)中第五章脆弱性識(shí)別與分析5.1脆弱性分類從技術(shù)、管理、物理三方面識(shí)別脆弱性：類別子類示例技術(shù)脆弱性系統(tǒng)漏洞操作系統(tǒng)未打補(bǔ)丁、應(yīng)用軟件高危漏洞配置脆弱性默認(rèn)口令、開放高危端口、弱密碼策略網(wǎng)絡(luò)脆弱性網(wǎng)絡(luò)邊界防護(hù)缺失、內(nèi)部網(wǎng)絡(luò)隔離不足管理脆弱性策略缺失未建立訪問(wèn)控制制度、安全審計(jì)未覆蓋流程缺失變更管理不規(guī)范、應(yīng)急響應(yīng)流程未演練人員脆弱性安全培訓(xùn)不足、崗位職責(zé)不清晰物理脆弱性環(huán)境安全機(jī)房門禁失效、監(jiān)控盲區(qū)設(shè)備防護(hù)服務(wù)器未上鎖、介質(zhì)未妥善保管5.2脆弱性嚴(yán)重程度評(píng)估參考CVSS評(píng)分標(biāo)準(zhǔn)，結(jié)合實(shí)際影響，將脆弱性分為高、中、低三級(jí)：高：可直接導(dǎo)致重要資產(chǎn)泄露、業(yè)務(wù)中斷，且利用難度低（如核心系統(tǒng)存在默認(rèn)口令）。中：可能導(dǎo)致部分資產(chǎn)受損，或需一定條件才能利用（如非核心系統(tǒng)存在普通漏洞）。低：影響較小，或利用難度高（如測(cè)試環(huán)境存在漏洞，且與核心業(yè)務(wù)隔離）。示例：脆弱性嚴(yán)重程度評(píng)估表脆弱性名稱所屬資產(chǎn)類別利用難度影響范圍嚴(yán)重程度ERP系統(tǒng)默認(rèn)管理員口令ERP系統(tǒng)技術(shù)脆弱性低核心業(yè)務(wù)數(shù)據(jù)泄露高辦公區(qū)未安裝監(jiān)控辦公區(qū)域物理脆弱性中設(shè)備失竊風(fēng)險(xiǎn)低數(shù)據(jù)庫(kù)備份策略缺失客戶數(shù)據(jù)庫(kù)管理脆弱性低數(shù)據(jù)無(wú)法恢復(fù)高第六章現(xiàn)有控制措施評(píng)估6.1控制措施梳理對(duì)照資產(chǎn)、威脅、脆弱性，梳理現(xiàn)有控制措施（技術(shù)、管理、物理）：控制類型控制措施示例技術(shù)控制防火墻訪問(wèn)控制、數(shù)據(jù)加密、漏洞掃描、入侵檢測(cè)管理控制安全管理制度、人員安全培訓(xùn)、應(yīng)急演練、變更管理物理控制機(jī)房門禁、視頻監(jiān)控、設(shè)備上鎖、介質(zhì)管理6.2控制措施有效性分析評(píng)估控制措施是否能有效降低威脅利用脆弱性的可能性，或減少影響，評(píng)級(jí)為“有效、部分有效、無(wú)效”：有效：完全覆蓋脆弱性，可阻止威脅發(fā)生（如數(shù)據(jù)庫(kù)開啟審計(jì)且覆蓋所有關(guān)鍵操作）。部分有效：部分覆蓋脆弱性，可降低風(fēng)險(xiǎn)但無(wú)法完全避免（如部署了殺毒軟件，但未定期更新病毒庫(kù)）。無(wú)效：未覆蓋脆弱性，無(wú)法防范威脅（如制定了應(yīng)急響應(yīng)計(jì)劃但從未演練）。示例：控制措施有效性分析表脆弱性現(xiàn)有控制措施有效性評(píng)級(jí)默認(rèn)口令強(qiáng)制要求修改初始口令有效員工安全意識(shí)不足每年1次安全培訓(xùn)部分有效缺乏數(shù)據(jù)備份每周全量備份+增量備份有效第七章風(fēng)險(xiǎn)計(jì)算與評(píng)級(jí)7.1風(fēng)險(xiǎn)計(jì)算方法采用“風(fēng)險(xiǎn)=可能性×影響”的定性計(jì)算模型，結(jié)合控制措施有效性調(diào)整可能性：調(diào)整后可能性=原始可能性×(1-控制措施有效性系數(shù))（有效性系數(shù)：有效=0.8，部分有效=0.5，無(wú)效=0）7.2風(fēng)險(xiǎn)等級(jí)劃分根據(jù)風(fēng)險(xiǎn)值（1-9分）劃分風(fēng)險(xiǎn)等級(jí)，對(duì)應(yīng)處置優(yōu)先級(jí)：風(fēng)險(xiǎn)值風(fēng)險(xiǎn)等級(jí)顏色標(biāo)識(shí)處置要求7-9高風(fēng)險(xiǎn)紅色立即處置，30天內(nèi)完成整改4-6中風(fēng)險(xiǎn)橙色計(jì)劃處置，90天內(nèi)完成整改1-3低風(fēng)險(xiǎn)黃色持續(xù)監(jiān)控，納入常規(guī)管理示例：風(fēng)險(xiǎn)計(jì)算與評(píng)級(jí)表資產(chǎn)威脅脆弱性原始可能性控制有效性調(diào)整后可能性影響程度風(fēng)險(xiǎn)值風(fēng)險(xiǎn)等級(jí)客戶數(shù)據(jù)庫(kù)數(shù)據(jù)泄露備份策略缺失高(3)無(wú)效(0)3×(1-0)=3高(3)9高風(fēng)險(xiǎn)ERP系統(tǒng)越權(quán)訪問(wèn)默認(rèn)口令高(3)有效(0.8)3×(1-0.8)=0.6≈1高(3)3低風(fēng)險(xiǎn)辦公終端勒索軟件終端未殺毒中(2)部分有效(0.5)2×(1-0.5)=1中(2)2低風(fēng)險(xiǎn)第八章風(fēng)險(xiǎn)處置建議8.1處置策略選擇根據(jù)風(fēng)險(xiǎn)等級(jí)選擇處置策略：高風(fēng)險(xiǎn)：規(guī)避（停用風(fēng)險(xiǎn)資產(chǎn)）、降低（立即修復(fù)脆弱性，如打補(bǔ)丁、加固配置）。中風(fēng)險(xiǎn)：降低（制定整改計(jì)劃，如完善管理制度、加強(qiáng)培訓(xùn)）、轉(zhuǎn)移（購(gòu)買保險(xiǎn)、外包給第三方防護(hù)）。低風(fēng)險(xiǎn)：接受（持續(xù)監(jiān)控，定期復(fù)評(píng)）、規(guī)避（成本過(guò)高時(shí)接受殘余風(fēng)險(xiǎn)）。8.2處置措施制定與優(yōu)先級(jí)排序針對(duì)高風(fēng)險(xiǎn)項(xiàng)制定具體措施，明確責(zé)任人與完成時(shí)間：風(fēng)險(xiǎn)項(xiàng)風(fēng)險(xiǎn)等級(jí)處置策略具體措施負(fù)責(zé)人完成時(shí)間客戶數(shù)據(jù)庫(kù)無(wú)備份高風(fēng)險(xiǎn)降低搭建自動(dòng)化備份系統(tǒng)，每日全量+增量備份*工2024-09-30ERP系統(tǒng)默認(rèn)口令高風(fēng)險(xiǎn)降低立即修改默認(rèn)口令，強(qiáng)制密碼復(fù)雜度策略*工2024-08-15辦公區(qū)無(wú)監(jiān)控低風(fēng)險(xiǎn)接受增加監(jiān)控?cái)z像頭，覆蓋重點(diǎn)區(qū)域*工2024-12-31第九章報(bào)告編制與輸出9.1報(bào)告內(nèi)容框架評(píng)估報(bào)告需包含以下核心內(nèi)容：評(píng)估概述：評(píng)估背景、范圍、目標(biāo)、依據(jù)標(biāo)準(zhǔn)。資產(chǎn)清單：重要資產(chǎn)分類及價(jià)值評(píng)估結(jié)果。風(fēng)險(xiǎn)分析：威脅、脆弱性識(shí)別結(jié)果，風(fēng)險(xiǎn)計(jì)算與評(píng)級(jí)表?？刂拼胧┰u(píng)估：現(xiàn)有控制措施有效性分析。風(fēng)險(xiǎn)處置計(jì)劃：高風(fēng)險(xiǎn)項(xiàng)處置措施、責(zé)任人與時(shí)間節(jié)點(diǎn)。結(jié)論與建議：整體風(fēng)險(xiǎn)狀況總結(jié)，管理改進(jìn)建議。9.2報(bào)告審核與分發(fā)內(nèi)部審核：由評(píng)估組長(zhǎng)（*工）審核技術(shù)準(zhǔn)確性，業(yè)務(wù)部門負(fù)責(zé)人審核業(yè)務(wù)資產(chǎn)描述，管理層審批最終報(bào)告。分發(fā)范圍：根據(jù)保密要求分發(fā)至相關(guān)部門（如管理層、IT部門、業(yè)務(wù)部門），存檔期限不少于5年。第十章附錄10.1常用表格模板（詳見以下示例，完整模板可根據(jù)實(shí)際需求擴(kuò)展）表1：資產(chǎn)清單模板資產(chǎn)編號(hào)資產(chǎn)名稱資產(chǎn)類別所屬部門負(fù)責(zé)人保密性完整性可用性綜合價(jià)值資產(chǎn)等級(jí)ASSET001ERP系統(tǒng)軟件資產(chǎn)財(cái)務(wù)部*工3339重要資產(chǎn)ASSET002客戶數(shù)據(jù)庫(kù)信息資產(chǎn)銷售部*工3227重要資產(chǎn)表2：風(fēng)險(xiǎn)矩陣表影響程度低(1)中(2)高(3)高(3)369中(2)246低(1)123表3：風(fēng)險(xiǎn)處置計(jì)劃表風(fēng)險(xiǎn)項(xiàng)風(fēng)險(xiǎn)等級(jí)處置措施責(zé)任人完成時(shí)間驗(yàn)證方式數(shù)據(jù)庫(kù)無(wú)備份高風(fēng)險(xiǎn)搭建自動(dòng)化備份系統(tǒng)*工2024-09-30備份測(cè)試報(bào)告默認(rèn)口令高風(fēng)險(xiǎn)修改口令+密碼策略*工2024-08-15口令合規(guī)性檢查10.2參考標(biāo)準(zhǔn)清單ISO/IEC27005:2018《信息安全風(fēng)險(xiǎn)管理》GB/T20984-2022《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估方法》GB/T22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》NISTSP800-30Re