本书从信息安全风险管理的基本概念入手，以信息安全风险管理标准——ISO/IEC 27005《信息技术—安全技术—信息安全风险管理》为主线，全面介绍了信息安全风险管理相关国际标准和国家标准；详细介绍了信息安全风险管理的环境建立，发展战略和业务识别，资产识别，威胁识别，脆弱性识别，已有安全措施识别；还介绍了风险分析，风险评价及风险评估输出，风险处置，沟通与咨询、监视与评审等内容；并给出了信息安全风险管理综合实例。本书还重点讲解了脆弱性识别中的物理脆弱性识别、网络脆弱性识别、系统脆弱性识别、应用脆弱性识别、数据脆弱性识别和管理脆弱性识别等内容。本书力图通过小案例与综合实例，理论联系实践，使读者了解、掌握和运用信息安全风险管理的理论与实践方法。 本书是信息安全保障人员认证信息安全风险管理方向的培训教材，面向政府部门、企事业单位从事信息安全风险管理或风险评估的专业人员，也适用于信息安全专业人士、大学生或对信息安全风险管理感兴趣的读者使用。

序言 人类社会进入21世纪以来，互联网信息技术高速发展，信息资源成为新的生产要素，新一轮的信息技术革命和产业变革交融发展，信息经济成为新的经济引擎，互联网信息安全关系国家主权，成为新的国家安全挑战。没有网络安全就没有国家安全，没有信息化就没有现代化。面对纷繁复杂的国际形势、日新月异的技术革新，抓住历史机遇，筑牢国家网络安全屏障，建设网络强国，实现中华民族伟大复兴的中国梦成为网络安全从业者的使命和责任。 网络空间的竞争，归根结底是人才竞争。2017年6月《中华人民共和国网络安全法》正式实施，明确要采用多种方式支持和培养网络安全人才。培养网络安全人才已经成为我国网络信息化事业建设的一项战略性、全局性和长期性任务，培养锻造一支技术过硬的网络安全人才队伍是网络强国的必由之路。 中国网络安全审查技术与认证中心于2011年正式推出信息安全保障人员认证（CISAW），经过不断发展完善，目前已形成预备级、基础级、专业级、专业高级四个等级，近二十个专业方向和行业领域的信息安全保障人员认证体系，赢得了众多国家部委、地方政府、行业领头企业的认可，为国家培养了一大批网络安全专业人才。近年来，新时期网络空间安全工作的推进、网络安全制度体系的建立和网络安全标准的修订对网络安全人才培养提出了新的更高的要求。为此，本书编写组编写了《信息安全风险管理与实践》一书。本书紧扣信息安全风险管理主线，涵盖了信息安全风险管理的各个环节，并依据最新颁布的国际和国家标准，结合信息安全风险管理最佳实践，对相关课程内容进行了大规模的修订完善和补充调整，以满足IT从业者和人员培训认证的学习需要，帮助从事网络安全技术岗位和管理岗位的人员提升信息安全风险管理能力。 本书从风险管理的原则、框架和过程，到风险评估的物理、网络、系统、应用和数据的脆弱性识别，渐次展开，层层递进，既考虑到技术人员，又照顾到管理人员，既传播知识，又教授技能，以提高专业人员的基本素质和能力水平，适应不断变化的网络安全新挑战。 希望本书的出版，能为广大网络安全保障从业者学习、工作和申请认证提供指导和帮助。我们网络安全从业者也时刻践行保障国家网络安全的使命初心，始终做到初心如磐、使命在肩。 魏 昊 中国网络安全审查技术与认证中心 前言 《信息安全风险管理与实践》是信息安全保障人员认证认证信息安全风险管理方向的学习用书，是CISAW的信息安全知识体系中信息安全风险管理的核心内容。 本书力求从实战需要出发，讨论当前信息安全保障工作中的信息安全风险管理技术。全书共分为13章。 第1章和第2章主要内容是相关知识准备和背景介绍。第1章概括介绍信息安全风险管理的相关背景知识和重要概念，以及概念之间的联系；第2章简要介绍风险管理、信息安全风险管理、风险评估等方面的国际标准和国家标准。第3～12章是本书主体，详细介绍信息安全风险管理的具体内容，内容编排基本是按照ISO/IEC 27005:2018《信息技术—安全技术—信息安全风险管理》的架构展开的。具体内容包括：第3章阐述环境建立的概念、过程文档等，以及风险评估的准备工作，同时扩展了项目管理的基础知识；第4章重点介绍发展战略和业务识别的概念、方法和工具、过程和输出，以及实例；第5章介绍资产识别的概念、方法和工具、过程和输出，以及实例；第6章介绍威胁识别的概念、方法和工具、过程和输出，以及实例；第7章介绍脆弱性识别，详细阐述了物理脆弱性识别、网络脆弱性识别、系统软件脆弱性识别、应用中间件脆弱性识别、应用系统脆弱性识别及管理脆弱性识别的相关知识，以及实例；第8章阐述已有安全措施识别的概念、方法和工具、过程、输出，以及实例；第9章介绍风险分析，讲解了风险计算和风险分析案例；第10章介绍风险评价与风险评估，并给出了风险评估报告示例；第11章详细阐述风险处置的内容；第12章介绍沟通与咨询、监视与评审的概念、过程及文档等内容；第13章从整体角度出发，依照信息安全风险管理基本过程，以一个实际项目作为案例，对整个风险管理的实施过程进行讲解。 本书按照信息安全保障人员认证考试大纲的要求进行编写，适合广大申请认证考试的人员使用；同时，也适合所有从事信息安全风险管理相关的工作人员及期望了解信息安全风险管理相关知识的人员学习和使用。 本书在中国网络安全审查技术与认证中心指导下编写，参编单位：北京红戎信安技术有限公司。参加编写者有（按姓氏笔画排列）：万娟、王洪艳、王媛、尤其、乔建忠、刘珺珺、刘淼、孙世国、何志明、张原、张海莲、郑莹、郑晰元、赵立军、赵倩倩、胡涵清、钮小琳、贾梦妮、曹雅斌、锁延锋，全书由王洪艳统稿。 本书在撰写过程中先后多次聆听相关领域内专家的建议和指导，他们包括中国标准化研究院全国风险管理标准化技术委员会高晓红，中国电子技术标准化研究院信安中心、全国信息安全标准化技术委员会刘贤刚，国家信息中心信息与网络安全部信息安全评估处陈永刚、公安部保密科技测评中心李超，国家信息技术安全研究中心王宏等，在此特向他们及未列出人士表示衷心感谢。 本书的编写参考和引用了国内外同行的大量文献资料，在此向这些文献资料的作者表示衷心感谢。 作者 2021年5月

第1章 概述 1 1.1 风险和风险管理 1 1.1.1 风险 1 1.1.2 风险的基本特性 2 1.1.3 风险的构成要素 4 1.1.4 风险管理 5 1.2 信息安全风险管理 8 1.2.1 信息安全 8 1.2.2 信息安全风险 13 1.2.3 信息安全风险管理 15 1.3 信息安全风险评估 19 1.3.1 信息安全风险评估的定义 19 1.3.2 信息安全风险评估的目的和意义 19 1.3.3 信息安全风险评估的原则 20 1.3.4 信息安全风险评估过程 21 1.3.5 信息安全风险管理与风险评估的关系 21 1.4 小结 22 习题 22 第2章 信息安全风险管理相关标准 23 2.1 标准化组织 23 2.1.1 国际的标准化组织 23 2.1.2 部分国家的标准化组织及相关标准 25 2.1.3 我国信息安全风险管理标准体系框架 29 2.2 风险管理标准ISO 31000 30 2.2.1 风险管理历史沿革 30 2.2.2 ISO 31000:2018主要内容 32 2.2.3 新旧版本标准比较 38 2.3 信息安全风险管理标准ISO/IEC 27005 39 2.3.1 ISO/IEC 27000系列标准 39 2.3.2 ISO/IEC 27005版本的演化 39 2.3.3 ISO/IEC 27005:2018标准主要内容 40 2.3.4 ISO 31000与ISO/IEC 27005的比较 43 2.4 信息安全风险评估规范GB/T 20984 44 2.4.1 我国信息安全风险评估发展历程 44 2.4.2 GB/T 20984规范主要内容 45 2.4.3 GB/T 20984与ISO 31000与ISO/IEC 27005的关系 53 2.5 小结 54 习题 54 第3章　环境建立 55 3.1 环境建立概述 55 3.1.1 环境建立定义 55 3.1.2 环境建立目的和依据 56 3.1.3 基本准则 57 3.1.4 范围和边界 58 3.1.5 信息安全风险管理组织 58 3.2 环境建立过程 59 3.2.1 风险管理准备 59 3.2.2 调查与分析 63 3.2.3 信息安全分析 64 3.2.4 基本原则确立 65 3.2.5 实施规划 66 3.3 环境建立文档 67 3.4 风险评估准备 67 3.4.1 确定信息安全风险评估的目标 68 3.4.2 确定信息安全风险评估的范围 68 3.4.3 组建风险评估团队 69 3.4.4 进行系统调研 72 3.4.5 确定信息安全风险评估依据和方法 72 3.4.6 选定评估工具 73 3.4.7 制定信息安全风险评估方案 73 3.4.8 准备阶段工作保障 74 3.5 项目管理基础 75 3.5.1 项目管理概述 75 3.5.2 项目管理的重点知识领域 77 3.5.3 项目生命周期 93 3.5.4 项目管理过程 95 3.6 小结 97 习题 98 第4章 发展战略和业务识别 99 4.1 风险识别概述 99 4.1.1 风险识别的定义 99 4.1.2 风险识别的原则 101 4.1.3 风险识别的方法工具 101 4.2 发展战略和业务识别内容 102 4.2.1 发展战略识别 102 4.2.2 业务识别内容 104 4.2.3 发展战略、业务与资产关系 105 4.2.4 发展战略识别和业务识别的目的和意义 106 4.3 发展战略和业务识别方法和工具 106 4.3.1 发展战略识别方法和工具 106 4.3.2 业务识别方法和工具 107 4.4 发展战略和业务识别过程和输出 108 4.4.1 发展战略识别过程和输出 108 4.4.2 业务识别过程和输出 109 4.5 发展战略和业务识别案例 113 4.5.1 发展战略识别 113 4.5.2 业务识别与业务赋值 114 4.6 小结 115 习题 116 第5章 资产识别 117 5.1 资产识别内容 117 5.1.1 资产识别的定义 117 5.1.2 资产分类 118 5.1.3 资产赋值 119 5.2 资产识别方法和工具 122 5.2.1 资产识别方法 122 5.2.2 资产识别工具 124 5.3 资产识别过程和输出 125 5.3.1 资产识别过程 125 5.3.2 资产识别输出 128 5.4 资产识别案例 128 5.5 小结 133 习题 134 第6章 威胁识别 135 6.1 威胁识别内容 135 6.1.1 威胁识别定义 135 6.1.2 威胁属性 135 6.1.3 威胁分类 136 6.1.4 威胁赋值 137 6.2 威胁识别方法和工具 140 6.2.1 威胁识别方法 140 6.2.2 威胁识别工具 143 6.3 威胁识别过程和输出 143 6.3.1 威胁识别过程 143 6.3.2 威胁识别输出 150 6.4 威胁识别案例 150 6.5 小结 152 习题 153 第7章 脆弱性识别 154 7.1 脆弱性识别概述 154 7.1.1 脆弱性识别定义 154 7.1.2 脆弱性赋值 158 7.1.3 脆弱性识别原则 158 7.1.4 脆弱性识别方法和工具 159 7.2 物理脆弱性识别 162 7.2.1 物理安全相关定义 162 7.2.2 物理脆弱性识别内容 165 7.2.3 物理脆弱性识别方法和工具 176 7.2.4 物理脆弱性识别过程 180 7.2.5 物理脆弱性识别案例 182 7.3 网络脆弱性识别 184 7.3.1 网络安全相关定义 184 7.3.2 网络脆弱性识别内容 190 7.3.3 网络脆弱性识别方法和工具 197 7.3.4 网络脆弱性识别过程 199 7.3.5 网络脆弱性识别案例 200 7.4 系统脆弱性识别 204 7.4.1 系统安全相关定义 204 7.4.2 系统脆弱性识别内容 211 7.4.3 系统脆弱性识别方法和工具 216 7.4.4 系统脆弱性识别过程 221 7.4.5 系统脆弱性识别案例 222 7.5 应用脆弱性识别 227 7.5.1 应用中间件安全和应用系统安全的相关定义 227 7.5.2 应用中间件和应用系统脆弱性识别内容 237 7.5.3 应用中间件和应用系统脆弱性识别方法和工具 244 7.5.4 应用中间件和应用系统脆弱性识别过程 247 7.5.5 应用中间件和应用系统脆弱性识别案例 248 7.6 数据脆弱性识别 250 7.6.1 数据安全的相关定义 250 7.6.2 数据脆弱性识别内容 259 7.6.3 数据脆弱性识别方法和工具 260 7.6.4 数据脆弱性识别过程 261 7.6.5 数据脆弱性识别案例 261 7.7 管理脆弱性识别 263 7.7.1 管理安全相关定义 263 7.7.2 管理脆弱性识别内容 265 7.7.3 管理脆弱性识别方法 和工具 271 7.7.4 管理脆弱性识别过程 277 7.7.5 管理脆弱性识别案例 278 7.8 小结 285 习题 285 第8章 已有安全措施识别 286 8.1 已有安全措施识别内容 286 8.1.1 已有安全措施识别的 相关定义 286 8.1.2 与其他风险评估阶段的关系 288 8.1.3 已有安全措施有效性确认 289 8.2 已有安全措施识别与确认方法和工具 290 8.2.1 已有安全措施识别与确认的方法 290 8.2.2 已有安全措施识别与确认的工具 294 8.3 已有安全措施识别与确认过程 295 8.3.1 已有安全措施识别与确认原则 295 8.3.2 管理和操作控制措施识别与确认过程 296 8.3.3 技术性控制措施识别与确认过程 297 8.4 已有安全措施识别输出 299 8.5 已有安全措施识别案例 299 8.5.1 案例背景描述 299 8.5.2 案例实施过程 300 8.5.3 案例输出 303 8.6 小结 305 习题 305 第9章 风险分析 306 9.1 风险分析概述 306 9.1.1 风险分析的定义 306 9.1.2 风险分析的地位 306 9.1.3 风险分析原理 306 9.1.4 风险分析流程 308 9.2 风险计算 314 9.2.1 风险计算原理 314 9.2.2 使用矩阵法计算风险 316 9.2.3 使用相乘法计算风险 321 9.3 风险分析案例 323 9.3.1 基本情况描述 323 9.3.2 高层信息安全风险评估 325 9.3.3 详细信息安全风险评估 326 9.3.4 风险计算 327 9.4 小结 328 习题 328 第10章 风险评价及风险评估输出 329 10.1 风险评价概述 329 10.1.1 风险评价定义 329 10.1.2 风险评价方法准则 329 10.1.3 风险评价方法 330 10.2 风险评价判定 332 10.2.1 资产风险评价 332 10.2.2 业务风险评价 333 10.2.3 风险评价结果 333 10.3 风险评价示例 334 10.3.1 从多角度进行风险评价 334 10.3.2 信息系统总体风险评价 335 10.4 风险评估文档输出 336 10.4.1 风险评估文档记录要求 337 10.4.2 风险评估文档的主要内容 337 10.5 被评估对象生命周期各阶段的风险评估 338 10.5.1 被评估对象的生命周期 338 10.5.2 规划阶段的风险评估 338 10.5.3 设计阶段的风险评估 339 10.5.4 实施阶段的风险评估 340 10.5.5 运维阶段的风险评估 340 10.5.6 废弃阶段的风险评估 341 10.6 风险评估报告示例 342 10.7 小结 343 习题 343 第11章 风险处置 344 11.1 风险处置概述 344 11.1.1 风险处置定义 344 11.1.2 风险处置目的和依据 344 11.1.3 风险处置原则 345 11.1.4 风险处置方式 345 11.2 风险处置准备 347 11.2.1 确定风险处置范围和边界 348 11.2.2 明确风险处置角色和责任 348 11.2.3 确定风险处置目标 349 11.2.4 选择风险处置方式 350 11.2.5 制定风险处置计划 350 11.2.6 获得决策层批准 350 11.3 风险处置实施 351 11.3.1 风险处置方案制定 352 11.3.2 风险处置方案实施 359 11.3.3 残余风险处置与评估 361 11.3.4 风险处置相关文档 361 11.4 风险处置效果评价 362 11.4.1 评价原则 363 11.4.2 评价方法 363 11.4.3 评价方案 364 11.4.4 评价实施 364 11.4.5 持续改进 365 11.5 风险处置案例 365 11.5.1 项目背景 365 11.5.2 风险处置准备 366 11.5.3 风险处置实施 368 11.5.4 风险处置效果评价 374 11.6 风险接受 376 11.6.1 风险接受定义 376 11.6.2 风险接受准则 376 11.7 批准留存 377 11.7.1 批准留存定义 377 11.7.2 批准留存原则 377 11.7.3 批准留存过程 378 11.8 小结 381 习题 381 第12章 沟通与咨询、监视与评审 384 12.1 沟通与咨询 384 12.1.1 沟通与咨询定义 384 12.1.2 沟通与咨询目的、意义 384 12.1.3 沟通与咨询方式 385 12.1.4 沟通与咨询过程 386 12.1.5 沟通与咨询文档 389 12.2 监视与评审 390 12.2.1 监视与评审定义 390 12.2.2 监视与评审目的、意义 390 12.2.3 监视与评审的内容 390 12.2.4 监视与评审过程 392 12.2.5 监视与评审文档 394 12.3 小结 395 习题 395 第13章 信息安全风险管理综合实例 396 13.1 案例背景 396 13.1.1 案例背景 396 13.1.2 实施思路 397 13.2 环境建立 397 13.2.1 风险管理准备 397 13.2.2 风险管理对象调查与分析 398 13.2.3 风险管理对象安全分析 399 13.2.4 确定风险管理的基本原则 399 13.2.5 制定风险管理的实施规划 400 13.2.6 输出成果 401 13.3 风险评估准备 401 13.3.1 制定风险评估计划 401 13.3.2 进行系统调研 402 13.3.3 确定风险评估工具 403 13.3.4 制定风险评估方案 403 13.3.5 获得支持 403 13.4 风险识别 404 13.4.1 发展战略、业务识别 404 13.4.2 资产识别 406 13.4.3 威胁识别 406 13.4.4 脆弱性识别 407 13.4.5 已有安全措施识别 410 13.4.6 输出成果 410 13.5 风险分析与评价 410 13.5.1 风险分析 411 13.5.2 风险计算 413 13.5.3 风险评价 416 13.5.4 输出成果 418 13.6 风险处置 418 13.6.1 风险处置准备 418 13.6.2 风险处置实施 419 13.6.3 风险处置效果评价 420 13.6.4 输出成果 420 13.7 沟通与咨询、监视与评审 421 13.7.1 沟通与咨询 421 13.7.2 监视与评审 421 13.7.3 输出成果 422 13.8 风险管理报告 422 13.9 小结 422 习题 423 附录A 风险评估方法 424 附录B 风险评估工具 427 附录C 信息安全相关法律法规 430 参考文献 432