5.3 風險管理

5.3.1　風險管理要求和策略

5.3.1.1 風險管理要求

風險管理作為等級保護的手段，在保證信息等級系統的最低保護能力的基礎上，可根據風險確定增加某些管理要求。對風險管理，不同安全等級應有選擇地滿足以下要求的一項：
a）基本風險管理：組織機構應進行基本的風險管理活動，包括編制資產清單，對資產價值/重要性進行分析，對信息系統面臨的威脅進行初步分析，通過工具掃描的方式對信息系統的脆弱性進行分析，以簡易的方式分析安全風險、選擇安全措施；
b）定期風險評估：在a）的基礎上，針對關鍵的系統資源進行定期風險分析和評估；產生風險分析報告并向管理層提交；
c）規范風險評估：在b）的基礎上，在風險管理中，使用規范方法和經過必要的工作流程，進行規范化的風險評估，產生風險分析報告和留存重要過程文檔，并向管理層提交；
d）獨立審計的風險管理：在c）的基礎上，建立風險管理體系文件；針對風險管理過程，實施獨立審計，確保風險管理的有效性；
e）全面風險管理：在d）的基礎上，使風險管理成為信息系統安全管理的有機組成部分，貫穿信息系統安全管理的全過程，并具有可驗證性。

5.3.1.2 風險管理策略

對風險管理策略，不同安全等級應有選擇地滿足以下要求的一項：
a）基本的風險管理策略：應定期進行風險評估，安全風險分析和評估活動程序應至少包括信息安全風險管理和業務應用風險管理密切相關的內容，信息安全風險管理的基本觀念和方法，以及風險管理的組織和資源保證等；
b）風險管理的監督機制：在a）的基礎上，應建立風險管理的監督機制，對所有風險管理相關過程的活動和影響進行評估和監控；應建立指導風險管理監督過程的指導性文檔；
c）風險評估的重新啟動：在b）的基礎上，應明確規定重新啟動風險評估的條件，機構應能針對風險的變化重新啟動風險評估。

5.3.2　風險分析和評估

5.3.2.1 資產識別和分析

對資產識別和分析，不同安全等級應有選擇地滿足以下要求的一項：
a）信息系統的資產統計和分類：確定信息系統的資產范圍，進行統計和編制資產清單（詳見5.4.2.1），并進行資產分類和重要性標識；
b）信息系統的體系特征描述：在a）的基礎上，根據對信息系統的硬件、軟件、系統接口、數據和信息、人員等方面的分析和識別，對信息系統的體系特征進行描述，至少應闡明信息系統的使命、邊界、功能，以及系統和數據的關鍵性、敏感性等內容。

5.3.2.2 威脅識別和分析

對威脅的識別和分析，不同安全等級應有選擇地滿足以下要求的一項：
a）威脅的基本分析：應根據以往發生的安全事件、外部提供的資料和積累的經驗等，對威脅進行粗略的分析
b）威脅列表：在a）的基礎上，結合業務應用、系統結構特點以及訪問流程等因素，建立并維護威脅列表；由于不同業務系統面臨的威脅是不同的，應針對每個或者每類資產有一個威脅列表；
c）威脅的詳細分析：在b）的基礎上，考慮威脅源在保密性、完整性或可用性等方面造成損害，對威脅的可能性和影響等屬性進行分析，從而得到威脅的等級；威脅等級也可通過綜合威脅的可能性和強度的評價獲得；
d）使用檢測工具捕捉攻擊：在c）的基礎上，對關鍵區域或部位進行威脅分析和評估，在業務應用許可并得到批準的條件下，可使用檢測工具在特定時間捕捉攻擊信息進行威脅分析。

5.3.2.3 脆弱性識別和分析

對脆弱性識別和分析，不同安全等級應有選擇地滿足以下要求的一項：
a）脆弱性工具掃描：應通過掃描器等工具來獲得對系統脆弱性的認識，包括對網絡設備、主機設備、安全設備的脆弱性掃描，并編制脆弱性列表，作為系統加固、改進和安全項目建設的依據；可以針對資產組合、資產分類編制脆弱性列表和脆弱性檢查表；
b）脆弱性分析和滲透測試：在a）的基礎上，脆弱性的人工分析至少應進行網絡設備、安全設備以及主機系統配置檢查、用戶管理檢查、系統日志和審計檢查等；使用滲透測試應根據需要分別從組織機構的網絡內部和網絡外部選擇不同的接入點進行；應了解測試可能帶來的后果，并做好充分準備；針對不同的資產和資產組合，綜合應用人工評估、工具掃描、滲透性測試等方法對系統的脆弱性進行分析和評估；對不同的方法和工具所得出的評估結果，應進行綜合分析，從而得到脆弱性的等級；
c）制度化脆弱性評估：在b）的基礎上，堅持制度化脆弱性評估，應明確規定進行脆弱性評估的時間和系統范圍、人員和責任、評估結果的分析和報告程序，以及報告中包括新發現的漏洞、已修補的漏洞、漏洞趨勢分析等。

5.3.2.4 風險分析和評估要求

對風險分析和評估，不同安全等級應有選擇地滿足以下要求的一項：
a）經驗的風險評估：應由用戶和部分專家通過經驗來判斷風險，并對風險進行評估，形成風險評估報告，其中必須包括風險級別、風險點等內容，并確定信息系統的安全風險狀況；
b）全面的風險評估：在a）的基礎上，應采用多層面、多角度的系統分析方法，由用戶和專家對資產、威脅和脆弱性等方面進行定性綜合評估，建議處理和減緩風險的措施，形成風險評估報告；除風險狀況外，在風險評估的各項步驟中還應生成信息系統體系特征報告、威脅評估報告、脆弱性評估報告和安全措施分析報告等；基于這些報告，評估者應對安全措施提出建議；
c）建立和維護風險信息庫：在b）的基礎上，應將風險評估中的信息資產、威脅、脆弱性、防護措施等評估項信息綜合到一個數據庫中進行管理；組織機構應當在后續的項目和工具中持續地維護該數據庫。

5.3.3　風險控制

5.3.3.1 選擇和實施風險控制措施

對選擇和實施風險控制措施，不同安全等級應有選擇地滿足以下要求的一項：
a）基于安全等級標準選擇控制措施：以信息系統及產品的安全等級標準對不同等級的技術和管理要求，選擇相應等級的安全技術和管理措施，決定需要實施的信息系統安全控制措施；
b）基于風險評估選擇控制措施：在a）的基礎上，根據風險評估的結果，結合組織機構對于信息系統安全的需求，決定信息系統安全的控制措施；
c）基于風險評估形成防護控制系統：在b）的基礎上，根據風險評估的結果，結合機構對于信息系統安全的需求，決定信息系統安全的控制措施；對相關的各種控制措施進行綜合分析，得出緊迫性、優先級、投資比重等評價，形成體系化的防護控制系統。

5.3.4　基于風險的決策

5.3.4.1 安全確認

應對信息系統定期進行安全確認。對安全確認，不同安全等級應有選擇地滿足以下要求的一項：
a）殘余風險接受：針對信息系統的資產清單、威脅列表、脆弱性列表，結合已采用的安全控制措施，分析存在的殘余風險；應形成殘余風險分析報告，并由組織機構的高層管理人員決定殘余風險是否可接受；
b）殘余風險監視：在a）的基礎上，應編制出信息系統殘余風險清單，并密切監視殘余風險可能誘發的安全事件，并及時采取防護措施；
c）安全風險再評估：在b）的基礎上，采用系統化的方法對信息系統安全風險實施再次評估，通過再次評估，驗證防護措施的有效性。

5.3.4.2 信息系統運行的決策

對信息系統運行的決策，不同安全等級應有選擇地滿足以下要求的一項：
a）信息系統運行的決定：信息系統的主管者或運營者應根據安全確認的結果，判斷殘余風險是否處在可接受的水平之內，并決定是否允許信息系統繼續運行；
b）信息系統受控運行：在a）的基礎上，如果信息系統的殘余風險不可接受，而現實情況又要求系統必須投入運行，且當前沒有其它資源能勝任組織機構的使命，經過組織機構管理層的審批，可以臨時批準信息系統投入運行，同時應采取相應的風險規避和監測控制措施，并明確風險一旦發生的責任陳述。

5.3.5　風險評估的管理

5.3.5.1 評估機構的選擇

對評估機構選擇，不同安全等級應有選擇地滿足以下要求的一項：
a）按資質和信譽選擇：應選擇有國家主管部門認可的安全服務資質且有良好信譽的評估機構進行信息系統風險評估；
b）在上級認可的范圍內選擇：應在經過本行業主管部門認可或上級行政領導部門批準的選擇范圍內，確定有國家主管部門認可的安全服務資質且有良好信譽的評估機構，進行信息系統風險評估；
c）組織專門的評估：應按照國家主管部門有關管理規定選擇可信評估機構，必要時應由國家指定專門部門、專門機構組織進行信息系統風險評估。

5.3.5.2 評估機構保密要求

對評估機構的保密要求，不同安全等級應有選擇地滿足以下要求的一項：
a）簽署保密協議：評估機構人員應按照第三方人員管理要求（詳見5.2.3.6）簽署保密協議；
b）專人監督檢查：在a）的基礎上，應有專人在整個評估過程中監督檢查評估機構對保密協議的執行情況；
c）制定具體辦法：在b）的基礎上，對專門評估組的保密要求應參照《中華人民共和國保守國家秘密法》的要求，結合實際情況制定具體實施辦法。

5.3.5.3 評估信息的管理

對評估信息的管理，不同安全等級應有選擇地滿足以下要求的一項：
a）規定交接手續：提交涉及評估需要的資料、數據等各種信息，應規定辦理交接手續，防止丟失；
b）替換敏感參數：在a）的基礎上，提交涉及評估需要的資料、數據等各種信息，必要時可以隱藏或替換核心的或敏感的參數；
c）不得帶出指定區域：在b）的基礎上，所有提交涉及評估需要的資料、數據等各種信息，只能存放在被評估方指定的計算機內，不得帶出指定辦公區域。

5.3.5.4 技術測試過程管理

新投入運行的信息系統或經過風險評估對安全機制有較大變動的信息系統應進行技術測試。對技術測試過程的管理，不同安全等級應有選擇地滿足以下要求的一項：
a）必須經過授權：使用工具或手工進行技術測試，應事先提交測試的技術方案，并得到授權方可進行；
b）在監督下進行：在a）的基礎上，使用工具或手工進行技術測試，應在被測試方專人監督下按技術方案進行；
c）由被評估方操作：在b）的基礎上，使用工具或手工進行技術測試，可以采用由被評估方技術人員按技術方案進行操作，評估機構技術人員進行場外指導；
d）過濾測試結果：在c）的基礎上，使用工具或手工進行技術測試，應由被評估方技術人員按技術方案進行操作，對測試結果過濾敏感或涉及國家秘密信息后再交評估方分析。