《信息安全技術 信息安全風險評估方法-編制說明》

國家標準報批稿資料

一、工作簡況

1.1任務來源

2016年，經國標委批準，全國信息安全標準化技術委員會（SAC/TC260）2016

年第二次全會討論通過，研究修訂《信息安全技術信息安全風險評估規(guī)范》國

家標準。該項目由全國信息安全標準化技術委員會提出，全國信息安全標準化技

術委員會歸口。

1.2主要起草單位和工作組成員

國家信息中心和北京安信天行科技有限公司主要負責起草，協作起草單位包

括中國信息安全認證中心、中國電子技術標準化研究院、中國信息安全測評中心、

公安部信息安全等級保護評估中心、信息產業(yè)信息安全測評中心、中國科學院信

息工程研究所、北京信息安全測評中心、民航信息安全管理與測評中心和上海上

訊信息技術股份有限公司等。

1.3主要工作過程

標準于2017年3月開始進行相關調研工作，于2017年7月立項，于2017年4月

至9月編制完成《信息安全技術信息安全風險評估規(guī)范（修訂版）》草案，并邀

請國家安全主管部門、重點行業(yè)主管機關、服務資質認證機構、安全評估從業(yè)機

構等對草案進行多次研討。在2017年9月，標準召開了專家評審會。并將修改完

成后的《信息安全技術信息安全風險評估規(guī)范（修訂版）》草案提交安標委，

在2017年10月根據安標委的工作安排，供專家討論評審。標準于2018年1月根據

專家意見，形成《信息安全技術信息安全風險評估規(guī)范（修訂版）》（征求意

見稿），提交進行意見征集。

（1）基礎研究和調研

組建《信息安全風險評估規(guī)范》修訂項目組，對近年來，尤其是中央網絡安

全與信息化領導小組成立以來所發(fā)布的關于網絡安全的一系列政策文件進行研

究，充分理解我國網絡安全的戰(zhàn)略規(guī)劃對信息安全風險評估工作提出的新要求和

新挑戰(zhàn)；同時，組織技術力量對云計算、物聯網、大數據、智慧城市等新技術應

用對原有信息安全風險評估方法帶來的挑戰(zhàn)進行研究，并提出解決方案；組織人

員對ISO/IEC27005:2011、ISO/IEC13335,NISTSP800系列等國際標準進行研

國家標準報批稿資料

究，充分了解和掌握國際上關于信息安全風險評估工作的最新研究動態(tài)，為《信

息安全風險評估規(guī)范》修訂工作提供借鑒。

通過座談或現場調研等方式，對國內信息安全主管機構（包括但不限于中央

網信辦、公安部、安全部、國家保密局、工信部、國家認監(jiān)委等），行業(yè)協會（包

括但不限于網絡空間安全協會<籌>、中國信息協會、計算機學會、網絡空間安全

研究院等），國家關鍵信息基礎設施主管機構（包括但不限于金融、電力、能源、

交通、通信、教育、水利、電子政務等），服務和體系認證機構（包括但不限于

中國信息安全認證中心、中國信息安全測評中心、認監(jiān)委認可的信息安全管理體

系第三方認證機構等），風險評估服務提供機構（包括但不限于中國信息安全認

證中心頒發(fā)的風險評估服務資質一級單位、中國信息安全測評中心頒發(fā)的風險評

估服務單位）等開展廣泛調研，充分了解和掌握《信息安全風險評估規(guī)范》（GB/T

20984-2007）的應用情況和存在的不足，為修訂工作提供指導。

（2）形成標準修訂的原則、方案，劃定修訂重點

在充分研究和調研的基礎上，結合國家安全主管部門的意見，形成《信息安

全風險評估規(guī)范》的修訂原則、設定修訂重點，重點修訂原標準中與當前的國家

信息安全戰(zhàn)略不相一致的地方，與當前廣泛應用的信息技術不相適宜的過程和條

款，增加最新的信息安全風險評估方法等。在此基礎上，形成標準修訂方案。

（3）編制《信息安全風險評估規(guī)范（修訂版）》草案

依據修訂原則和修訂方案，編制《信息安全風險評估規(guī)范（修訂版）》草案，

邀請國家安全主管部門、重點行業(yè)主管機關、服務資質認證機構、安全評估從業(yè)

機構等，組織召開意見征詢會，根據征詢意見，調整框架并編制《信息安全風險

評估規(guī)范（修訂版）》草案。

（4）按照安標委相關流程和要求，形成《信息安全技術信息安全風險評

估規(guī)范》（征求意見稿）

按照《關于印發(fā)全國信息安全標準化技術委員會標準制修訂工作程序的通

知》（信安字[2016]004號）文件相關要求，在信安標委的指導下，在專家的幫

助下，完成標準草案、征求意見稿流程。

二、標準編制原則和確定主要內容的論據及解決的主要問題

本標準在編制過程中遵循了先進性和合理性原則。

國家標準報批稿資料

先進性原則體現在與國際同步。本標準在制定過程中主要參考了國際相關

標準，標準主要參考了ISO/IEC13335、ISO/IEC27005:2008,2011、NISTSP

800-30。

合理性原則體現在與國內實際情況相結合。通過對《信息安全技術信息安

全風險評估規(guī)范》（GB/T20984-2007）進行修訂完善,調整標準中與當前國家安全

戰(zhàn)略和安全形勢不一致、或在標準應用過程中不適宜的方法和內容，優(yōu)化風險評

估的實施流程和過程,補充完善標準中缺失的方法和內容，提升標準的科學性和

適宜性，形成能夠與當前信息安全新形勢和新環(huán)境相適宜的信息安全風險評估標

準,為推動《中華人民共和國網絡安全法》和《國家網絡空間安全戰(zhàn)略》的落實，

指導我國的信息安全保障工作開展奠定基礎。

本項目在《中華人民共和國網絡安全法》、《國家網絡空間安全戰(zhàn)略》和《“十

三五”國家網絡安全規(guī)劃》的指導下，對信息安全風險評估工作在我國的開展現

狀進行調研，對新的網絡空間安全戰(zhàn)略下，信息安全風險評估工作所面臨的新要

求和新挑戰(zhàn)進行充分分析，同時，結合國內外的先進研究成果和實踐經驗，研究

信息安全風險評估規(guī)范的修訂原則、修訂方針和修訂重點，在這些方針和原則的

指導下，對GB/T20984-2007進行修訂，形成新版的信息安全風險評估規(guī)范標準，

指導我國的信息安全風險評估工作開展。

本次標準修訂的內容主要包括標準應用語境及術語修訂、實施流程和方法修

訂、全生命周期風險評估內容修訂等。

（1）標準應用語境及術語修訂

本次標準修訂，將對標準應用語境進行調整。將原有基于傳統(tǒng)信息系統(tǒng)和網

絡的信息安全風險評估語境，外延到適用于網絡空間的語境中。

標準術語修訂。遵照《網絡安全法》的要求，將“信息安全風險評估規(guī)范”

中的有關術語，修訂成網絡空間安全風險評估、國家關鍵信息基礎設施風險評估

等相關術語。

標準評估對象進行調整，將原有的基于資產的評估方法，調整為基于國家安

全戰(zhàn)略、組織戰(zhàn)略、單位核心業(yè)務保護的風險評估方法

另外，在修訂GB/T20984-2007時,要充分兼容GB/T31722-2015（IDT

ISO/IEC27005:2008）

國家標準報批稿資料

（2）實施流程和方法的修訂

對原有基于資產的評估流程和方法進行修訂，調整為基于國家或組織發(fā)展戰(zhàn)

略的風險評估方法，計劃調整后的評估流程如下圖所示。

（3）全生命周期風險評估內容的修訂

本次修訂，將圍繞管控國家安全戰(zhàn)略、組織戰(zhàn)略、單位核心業(yè)務安全風險的

思想，對安全決策制訂風險評估、組織業(yè)務流程設計風險評估、工程和系統(tǒng)規(guī)劃

設計風險評估、工程和系統(tǒng)建設實施風險評估、工程和系統(tǒng)運行維護風險評估、

工程和系統(tǒng)廢棄風險評估等進行規(guī)范。

三、主要試驗[或驗證]情況分析

無。

四、知識產權情況說明

本標準不涉及專利。

國家標準報批稿資料

五、產業(yè)化情況、推廣應用論證和預期達到的經濟效果

無。

六、采用國際標準和國外先進標準情況

未采用國際標準。

國外先進標準情況如下：

國外開展信息安全風險評估的時間比較早，在20世紀80年代，美國、加拿

大等發(fā)達國家就已經開始建立信息安全風險評估體系，制定了相關標準，評估方

法、技術。美國國防部于上世紀八十年代中期發(fā)布了TCSEC（即可信計算機系統(tǒng)

評估標準，業(yè)界稱之為橘皮書），世界上很多國家根據自己實際情況，均都研究

并發(fā)布了一系列信息安全評估標準：

英國、法國、德國、荷蘭等國家在1991年聯合將ITSEC（信息技術安全

評估標準）提出來；

加拿大于1993年發(fā)布了可信計算機產品評價標準CTCPEC（Canadian

TrustedComputerProductEvaluationCriteria）；

1993年，由6國7方（加拿大、法國、德國、荷蘭、英國、美國NIST

及美國NSA）提出了CC（即為信息技術安全評估通用標準），目前，CC

已經被采納為國際標準ISO/IEC15408-1；

1999年由英國標準協會（BSI）將修改之后的BS7799標準重新發(fā)布，涵

蓋了信息安全管理實施細則、信息安全管理體系規(guī)范（即為BS7799-1、

BS7799-2），并且BS7799-1通過了國際標準化組織ISO的認可，成為了

國際標準（ISO/IEC17799）。

ISO/IEC13335

ISO/IEC27005:2008,2011

NISTSP800-30

除了安全標準的研制及發(fā)布，各個國家都在加強網絡安全的建設。2014年2

月，美國啟動了“網絡安全框架”，該項目主要目標為加強電力、運輸和電信等

“關鍵基礎設施”部門的網絡安全。歐盟主要領導機構明確表示，計劃在2014

年通過“歐洲數據保護改革方案”，以強化數據安全。在亞洲，日本及印度也紛

國家標準報批稿資料

紛在國家安全戰(zhàn)略層面對網絡安全進行了部署，確保國家網絡的安全性，將安全

可信的計算機環(huán)境構建起來。

七、與現行相關法律、法規(guī)、規(guī)章及相關標準的協調性

本標準嚴格遵循《中華人民共和國網絡安全法》等法律、法規(guī)規(guī)章。本標

準不觸犯國家現行法律法規(guī)，不與其他強制性國標相沖突。

2007年，在原國信辦的直接領導和支持下，在國家安標委的大力推動下，

《信息安全技術信息安全風險評估規(guī)范》（GB/T20984-2007）正式頒布。標準

頒布十年來，GB/T20984-2007為了解和掌握我國信息安全保障工作的開展現狀，

推動國家信息安全保障體系建設，提升我國信息安全保障水平奠定了良好的基

礎。

依據該標準，2009年度，制定完成上位指導標準《信息安全技術信息安全

風險管理指南》（GB/Z24364-2009），2015年，GB/T20984-2007的實施細則《信

息安全技術信息安全風險評估指南》（GB/T31509-2015）正式發(fā)布，2016年底，

GB/T31509-2015的姊妹篇《信息安全技術信息安全風險處理實施指南》（GB/T

33132-2016）正式發(fā)布。截止目前，我國信息安全風險管理標準體系基本搭建完

成（我國的風險管理標準體系見下圖），對于指導我國的信息安全保障工作開展

奠定了堅實基礎。

《信息安全技術信息安全風險管理指南》(GB/Z24364-2009)對信息安全風

險管理的范圍和對象、內容和過程、信息安全風險管理與信息系統(tǒng)生命周期和信

息安全目標的關系，以及信息安全風險管理相關人員的角色和責任等都進行了規(guī)

定。

國家標準報批稿資料

《信息安全技術信息安全風險評估指南》（GB/T31509-2015）定義了風險

評估的基本概念、原理及實施流程，對資產、威脅和脆弱性識別要求進行了詳細

描述，提出了風險評估在信息系統(tǒng)生命周期不同階段的實施要點，以及風險評估

的工作形式。適用于指導各組織針對信息系統(tǒng)及其管理開展的信息風險評估工

作。

《信息安全技術信息安全風險處理指南》（GB/T33132-2016）給出了信息

安全風險處理實施的管理過程和方法，適用于指導信息系統(tǒng)運營使用單位和信息

安全服務機構實施信息安全風險處理活動。

《信息技術安全技術信息安全風險管理》（GB/T31722-2015IDTISO/IEC

27005:2008）是對國際標準的轉化，旨在為基于風險管理方法建立信息安全管理

體系提供指導。

《信息系統(tǒng)安全等級保護基本要求》（GB/T22239，以下簡稱《等保要求》），

其中明確了五種安全等級中對信息系統(tǒng)最低要求，也就是基本安全要求，涵蓋了

基本技術要求和基本管理要求，用于指導信息系統(tǒng)的安全建設和監(jiān)督管理。

國家對網絡安全風險和風險評估工作高度重視。2016年頒布的《中華人民

共和國網絡安全法》中明確指出，關鍵信息基礎設施的運營者應當自行或者委托

網絡安全服務機構對其網絡的安全性和可能存在的風險每年至少進行一次檢測

評估。2016年底頒布的《國家網絡空間安全戰(zhàn)略》中也明確指出，應采取必要

措施保障關鍵信息基礎設施安全，逐步實現先評估后使用。2017年初頒布的《“十

三五”國家網絡安全規(guī)劃》中也指出，構建關鍵信息基礎設施安全保障體系。統(tǒng)

籌組織開展對黨政機關、重點行業(yè)、智慧城市和大型互聯網服務平臺等的安全檢

查和風險評估，逐步實現重要信息系統(tǒng)先評估后使用。建立互聯網新技術、新應

用網絡安全風險評估制度，加強對新技術、新應用上線前的風險評估。

八、重大分歧意見的處理經過和依據