评估安全信息有哪些/评估信息安全状况-小白网络安全笔记

评估安全信息有哪些/评估信息安全状况-小白网络安全笔记

前言

信息安全风险评估作为信息系统的安全保障措施，已经在交通、金融、能源、政务等各个领域广泛实施，信息安全风险评估国家标准也于2022年进行了修订，由GB/T 20984-2022《信息安全技术 信息安全风险评估方法》代替GB/T 20984-2007《信息安全技术 信息安全风险评估规范》。近年来随着数据要素在经济活动中的地位的逐步提高，数据变得越来越重要，由于数据引起的安全事件不断，数据泄露、勒索病毒攻击、内鬼数据窃取等处于持续高发状态，5G、AI、人工智能等新型技术的应用也使数据面临新的安全挑战。在监管层面，《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》相继推出，强调了数据处理者的责任与义务，全国信息安全标准化技术委员会也发布了《信息安全技术 数据安全风险评估方法》（征求意见稿）和《网络安全标准实践指南—网络数据安全风险评估实施指引》，进一步对数据处理者开展数据处理活动的风险分析、风险评估做出了指导。那么信息安全风险评估和数据安全风险评估有什么相同和不同之处呢？

一、标准的定义、对象

1.信息安全风险评估

GB/T 20984-2022《信息安全技术信息安全风险评估方法》中没有直接对信息安全风险评估给出定义，但分别给出了信息安全风险和风险评估的定义，结合起来可以理解为信息安全风险评估为对特定威胁利用单个或一组资产脆弱性的可能性以及由此可能给组织带来的损害，进行风险识别、风险分析和风险评价的整个过程。

2.数据安全风险评估

《信息安全技术 数据安全风险评估方法》（征求意见稿）中定义的数据安全风险评估为对数据和数据处理活动安全进行信息调研、风险识别、风险分析和风险评价的整个过程。同时标准中还给出了数据安全风险的定义，数据安全事件的发生可能性及其对国家安全、公共利益或者组织、个人合法权益造成的影响。

从标准的定义来看，两者都是定义了一个评估的过程，从对象来看，数据安全风险评估的对象是数据和数据处理活动；信息安全风险评估的对象是威胁利用资产的脆弱性带来的损害，信息安全风险评估的对象包含了威胁、资产、脆弱性、可能性等，是对损害进行评估，边界相对比较模糊。

二、风险要素之间的关系

1.信息安全风险评估

风险要素的核心是资产，而资产存在脆弱性。安全措施通过降低资产脆弱性被利用难易程度，抵御外部威胁，以实现对资产的保护。威胁通过利用资产存在的脆弱性导致风险，风险转化成安全事件后，会对资产的运行状态产生影响。信息安全风险评估主要是评估脆弱性、威胁和安全措施之间此消彼长的关系，其中资产价值属于定量，在评估中不会随着其他因素的变化而变化，脆弱性会随着安全措施的有效性而变化，威胁会随着脆弱性的变化而变化。资产、脆弱性、威胁和安全措施关系如下图所示：

2.数据安全风险评估

数据是核心要素，具有数据价值等属性，数据价值将影响数据安全风险的危害程度。数据和数据处理活动是数据安全风险评估的评估对象，数据处理者运营业务，业务依赖数据实现；业务需要依托信息系统的支撑，可能涉及一个或多个信息系统。信息系统包含多个数据处理活动，信息系统是数据的载体；数据在流转过程中涉及一个或多个数据处理活动，数据处理活动应遵循数据安全法律法规要求。安全措施用于保护数据安全，能降低数据安全风险源发生的可能性；数据和数据处理活动作为评估对象，可能存在风险源，风险源可能引发数据安全风险，数据安全风险将对数据和数据处理活动有潜在影响。数据价值属于定量，数据处理活动具有一定的风险和安全措施属于一对此消彼长的关系。

数据处理活动和数据之间的关系如下图所示：

从以上两个风险要素关系图中可以看出信息安全风险评估的各个要素中脆弱性是评估的核心，资产存在脆弱性，脆弱性会导致风险，威胁会利用脆弱性，安全措施可以降低脆弱性；数据安全风险评估中没有脆弱性的说法，而且数据安全风险评估中评估对象是数据和数据处理活动，并不是所有的风险要素。

三、风险分析原理

1.信息安全风险评估

风险分析原理如下: a) 根据威胁的来源、种类、动机等,并结合威胁相关安全事件、日志等历史数据统计,确定威胁的能力和频率；b)根据脆弱性访问路径、触发要求等,以及已实施的安全措施及其有效性确定脆弱性被利用难易程度；c) 确定脆弱性被威胁利用导致安全事件发生后对资产所造成的影响程度；d) 根据威胁的能力和频率,结合脆弱性被利用难易程度,确定安全事件发生的可能性；e) 根据资产在发展规划中所处的地位和资产的属性,确定资产价值；f)根据影响程度和资产价值,确定安全事件发生后对评估对象造成的损失；g)根据安全事件发生的可能性以及安全事件造成的损失,确定评估对象的风险值；h)依据风险评价准则,确定风险等级,用于风险决策。几者之间的相互关系如下图所示：

简单来说就是有价值的资产存在脆弱性，若发生安全事件会造成损失；脆弱性若被环境或系统中存在的威胁因素利用会产生安全事件；最终风险值由安全事件造成的损失和安全事件发生的可能性决定。

2.数据安全风险评估

数据安全风险评估，主要围绕数据处理者的数据和数据处理活动，对可能影响数据保密性、完整性、可用性和数据处理合理性的安全风险进行分析和评价。数据安全风险评估主要包括信息调研、风险识别、风险分析与评价等，如下图所示：

数据安全风险评估的主要内容包括：

a) 信息调研：对可能影响数据安全风险的要素的情况调研，包括数据处理者、业务和信息系统、数据资产、数据处理活动、数据安全防护措施。掌握数据处理者、业务和信息系统基本情况，梳理涉及的数据资产和数据处理活动，了解采取的数据安全防护措施情况，掌握被评估对象或同行业相关数据安全事件历史发生情况。

b) 风险识别：基于信息调研情况，从数据安全管理、数据处理活动安全、数据安全技术、个人信息保护等方面进行数据安全风险识别，识别评估对象现有安全措施完备性并对其有效性进行验证，识别可能存在的风险源。

c) 风险分析与评价：通过分析风险类型、风险危害程度和可能性，评价风险等级。

综上，数据安全风险评估最终决定风险值的因素是风险类型、风险危害程度和可能性；信息安全风险评最终决定风险值的因素是安全事件造成的损失、安全事件发生的可能性。两者都是经过了资产识别、风险识别等一系列的识别过程推导出来的，在形式上是统一的。

四、评估实施流程

信息安全风险评估流程分为6个阶段：风险评估准备、风险识别、风险分析、风险评价、沟通与协商、风险评估文档记录。工作形式包含自评估和检查评估，其中，自评估可由发起方实施或委托风险评估服务技术支持方实施。

数据安全风险评估流程分为5个阶段：风险评估准备、信息调研、风险识别、风险分析与评价、评估总结。工作形式包含自评估和检查评估，其中，自评包括由数据处理者自身发起，组成机构内部评估小组进行评估或委托第三方评估机构进行评估。在数据安全风险评估中还规定了6种开展数据安全风险评估的评估适用情形。

在实施流程中都包含有风险评估准备、风险识别、风险分析与评价，主要流程基本上是一致的。在信息安全风险评估中，风险识别阶段包括了资产识别、业务识别、系统资产识别、系统组件和单元资产识别、威胁识别、已有安全措施识别、脆弱性识别对应信息安全风险评估中的威胁、资产、脆弱性、可能性等对象，是确定测评对象的阶段。在数据安全风险评估流程中信息调研这一个步骤，其主要目的是确定评估对象，主要包括了数据处理者调研、业务和信息系统调研、数据资产调研、数据处理活动调研、安全防护措施识别，对应是标准中的数据和数据处理活动。

五、量化分析与评价方法

在信息安全风险评估中的风险识别阶段给出了各个对象的参考价值等级表，其中规定有5个定性的标识，很低、低、中等、高、很高，同时也给出了用于定量分析的的赋值，由低到高为1到5，并在附录部分给出了风险计算示例。

在数据安全风险评估的附录部分给出了数据安全风险量化分析与评价方法，其中规定了数据安全风险危害程度等级和得分参考，即：很高 [80%, 100%]、高 [60% 80%)、中 [40%, 60%)、低 [20%, 40%)、很低 [0%, 20%)，也给出了数据安全风险发生可能性等级和得分参考，即：高 [75% 100%]、中 [30%, 75%)、低 [0%, 30%），同是也给出了数据安全风险量化评价方法。

六、总结

信息安全安全风险评估和数据安全风险评估是相辅相成的关系，信息安全风险评估侧重点是承载信息数据的整个系统，相当于人体的血管；而数据安全风险评估侧重点是数据本身和数据处理的过程，相当于人体的血液，既需要健康的血管来承载血液，使血液能够以一个稳定的状态、压力、速度等流通，也需要血液自身是健康的。

作 者

曹会宾 中国信息通信研究院云计算与大数据研究所金融科技部，工程师，研究领域为密码与信息安全方向研究，从事等级保护，密码评估，风险评估十余年，具有丰富的实践经验。

~

网络安全学习，我们一起交流

~