1.1.2 信息安全风险评估

1.概述

“风险”是一种不确定性对目标的影响。信息安全风险则是反映人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致信息安全事件发生以及对组织造成的影响。

信息安全风险评估（简称“风险评估”）就是从风险管理角度，运用科学的方法和手段，系统地分析信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施，为防范和化解信息安全风险，将风险控制在可接受的水平，最大限度地保障信息安全提供科学依据。

信息安全风险评估作为信息安全保障工作的基础性工作和重要环节，要贯穿于信息系统的规划、设计、实施、运行维护以及废弃各个阶段，是信息安全等级保护制度建设的重要科学方法之一。

2.发展历程

对于信息安全问题的风险评估服务，是伴随着对计算机信息处理系统的信息安全问题认识的变化而不断发展和逐步深化的。早期的计算机信息处理系统的安全工作注重的是信息的机密性，通过保密检测找出计算机信息系统存在的问题，进而改进和提高计算机系统的安全性，进而发展成为针对运行在计算机网络系统上的信息系统安全情况进行评估的信息系统安全风险评估服务。在其发展历程中，比较典型的案例是1967年11月—1970年2月，美国国防科学委员会委托兰德公司、迈特公司（MITIE）及其他和国防工业有关的一些公司，经过两年半的时间，对当时运行的大型机、远程接入终端进行了研究和分析，完成了第一次比较大规模的风险评估。在此基础上，经过近10年的研究，NBS（美国国家标准局）1979年颁布了一个风险评估标准《自动数据处理系统（ADP）风险分析标准》（FIPS65），从此拉开了信息安全风险评估理论和方法研究的序幕，包括美国20世纪80年代的彩虹系列（即橘皮书，美国早期的一套比较完整的从理论到方法的有关信息安全评估的准则，形成于1981—1985年），1992年美国联邦政府制定了《联邦信息技术安全评估准则》（FC），1993年发布了《信息技术安全性通用评估准则》，以上的相关标准和技术，最终演化为1999年的国际标准ISO/IEC 15408。

进入21世纪后，随着互联网及其应用的高速发展和信息战理论的进步，美国从2002年开始先后发布了《IT系统风险管理指南》（SP800-30）、《联邦IT系统安全认证和认可指南》（SP800-37）、《联邦信息和信息系统的安全分类标准》（FIPS 199）等一系列文档。虽然美国引领了网络和信息技术的发展，但目前影响最广泛的网络和信息安全方面的标准ISO/IEC 17799:2005《信息安全管理实施细则》（其前身是BS 7799第一部分）却来自英国，并被大多数国家认可和使用。目前常提到的ISO 27001《信息安全管理体系认证》和ISO 27002《信息安全管理系统（ISMS）》，其前身分别是BS 7799第二部分和BS 7799第一部分。信息安全评估涉及方方面面，安全标准也十分庞杂，各种评估标准的侧重点也不一样，用于满足不同用户针对不同要求的信息安全评估。目前国外的很多企业接受ISO/IEC 17799:2005认证，即信息安全管理体系认证的证书。

相对于国外针对信息系统的信息安全风险评估行业，我国起步较晚，但发展比较快，先后颁布了GB 17859—1999《计算机信息系统 安全保护等级划分准则》、GB/T 20984—2007《信息安全技术 信息安全风险评估规范》、GB/T 22239—2008《信息安全技术 信息系统安全等级保护基本要求》等一系列相关的国家标准，目前已经形成了以信息安全等级保护测评、涉密信息系统分级保护为标志的，具有中国特色的信息安全评价与测评体系。相比于国外以信息安全风险评估为主的信息安全测试与评估体系，国内针对非涉密的信息系统安全评估以信息安全等级保护测评为主，涉密信息系统以分级保护测评为主，信息安全风险评估属于辅助性安全服务，用于从风险等不同角度分析组织信息安全情况，为组织的信息安全建设提供建设依据。