T∕CCIA 001-2022 面向網(wǎng)絡(luò)安全保險的風(fēng)險評估指引

1、ICS 35.030CCS L 80CCIA中 國 網(wǎng) 絡(luò) 安 全 產(chǎn) 業(yè) 聯(lián) 盟 團 體 標(biāo) 準(zhǔn)T/CCIA 0012022面向網(wǎng)絡(luò)安全保險的風(fēng)險評估指引Risk assessment guidelines for cybersecurity insurance2022 - 03 - 25 發(fā)布2022 - 05 - 01 實施中國網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟發(fā) 布學(xué)兔兔 HYPERLINK / 標(biāo)準(zhǔn)下載T/CCIA 0012022目次 HYPERLINK l _bookmark0 范圍1 HYPERLINK l _bookmark1 規(guī)范性引用文件1 HYPERLINK l _bookmark2 術(shù)語

2、和定義1 HYPERLINK l _bookmark3 概述2 HYPERLINK l _bookmark4 實施原則2 HYPERLINK l _bookmark5 實施方法3 HYPERLINK l _bookmark6 險別分類3 HYPERLINK l _bookmark7 投保流程3 HYPERLINK l _bookmark8 面向網(wǎng)絡(luò)安全保險的風(fēng)險評估實施流程5 HYPERLINK l _bookmark9 評估流程5 HYPERLINK l _bookmark10 評估準(zhǔn)備階段5 HYPERLINK l _bookmark11 風(fēng)險評估要素識別階段5 HYPERLINK l _

3、bookmark12 風(fēng)險分析與計算階段6 HYPERLINK l _bookmark13 保險人核保階段6 HYPERLINK l _bookmark14 風(fēng)險要素識別6 HYPERLINK l _bookmark15 業(yè)務(wù)識別6 HYPERLINK l _bookmark16 資產(chǎn)識別7 HYPERLINK l _bookmark17 威脅識別9 HYPERLINK l _bookmark18 脆弱性識別10 HYPERLINK l _bookmark19 網(wǎng)絡(luò)安全保險通用場景風(fēng)險計算11 HYPERLINK l _bookmark20 7.1 概述11 HYPERLINK l _book

4、mark21 業(yè)務(wù)風(fēng)險計算11 HYPERLINK l _bookmark22 資產(chǎn)風(fēng)險計算11 HYPERLINK l _bookmark23 威脅風(fēng)險計算12 HYPERLINK l _bookmark24 脆弱性風(fēng)險計算12 HYPERLINK l _bookmark25 風(fēng)險分值的計算13 HYPERLINK l _bookmark26 網(wǎng)絡(luò)安全保險典型場景風(fēng)險計算14 HYPERLINK l _bookmark27 數(shù)據(jù)安全場景14 HYPERLINK l _bookmark28 網(wǎng)絡(luò)勒索場景16 HYPERLINK l _bookmark29 業(yè)務(wù)連續(xù)性中斷場景17 HYPERLI

5、NK l _bookmark30 典型場景風(fēng)險值計算17 HYPERLINK l _bookmark31 附錄 A（資料性） 脆弱性識別表19 HYPERLINK l _bookmark32 附錄 B（資料性） 已有安全控制措施識別表22 HYPERLINK l _bookmark33 附錄 C（資料性） 典型場景已有安全控制措施識別28 HYPERLINK l _bookmark34 附錄 D（資料性） 某虛擬銀行風(fēng)險評估示例32 HYPERLINK l _bookmark35 參考文獻36IT/CCIA 0012022前言本文件按照GB/T 1.12020標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件

6、的結(jié)構(gòu)和起草規(guī)則的規(guī)定起草。本文件由中國網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟提出。本文件由中國網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟歸口。本文件起草單位：杭州安恒信息技術(shù)股份有限公司、北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司、北京神州綠盟科技有限公司、北京賽西科技發(fā)展有限責(zé)任公司、亞信科技（成都）有限公司、北京啟明星辰信息安全技術(shù)有限公司、北京梆梆安全科技有限公司、上海觀安信息技術(shù)股份有限公司、北京瑞和云圖科技有限公司、北京六方云信息技術(shù)有限公司、上海竟安網(wǎng)絡(luò)科技有限公司、網(wǎng)宿科技股份有限公司、光通天下網(wǎng)絡(luò)科技股份有限公司、國網(wǎng)思極網(wǎng)安科技（北京）有限公司、北京元支點信息安全技術(shù)有限公司、 北京知道創(chuàng)宇信息技術(shù)股份有限公司、北京華圣龍源科技有限

7、公司。本文件主要起草人：來澤楓、林明峰、陳星、梁偉、田麗丹、張靜、歐陽周婷、許玉娜、郝少碩、 卜祥正、郭嬋嬋、馮丹、呂翌澍、盧佐華、謝江、周東、胡亞瓊、周夢妍、吉貽俊、呂士表、湯季洪、 林寅偉、黃林、裴文成、郭鑫。IIT/CCIA 0012022引言網(wǎng)絡(luò)安全保險作為風(fēng)險轉(zhuǎn)移的重要手段，得到越來越多的關(guān)注?，F(xiàn)階段開展網(wǎng)絡(luò)安全保險業(yè)務(wù)時， 對潛在投保用戶的信息系統(tǒng)進行網(wǎng)絡(luò)安全風(fēng)險評估存在不足，缺乏規(guī)范的評估過程、指標(biāo)和方法指引， 極大影響網(wǎng)絡(luò)安全保險在國內(nèi)的推廣和應(yīng)用。本文件試圖通過建立一套風(fēng)險評估指標(biāo)、流程、內(nèi)容，規(guī)范對擬投保系統(tǒng)的風(fēng)險評估，得出風(fēng)險等級、風(fēng)險分值，定量化的呈現(xiàn)擬投保系統(tǒng)網(wǎng)絡(luò)安全

8、風(fēng)險狀況， 為后續(xù)開展網(wǎng)絡(luò)安全保險業(yè)務(wù)提供參考依據(jù)。IIIT/CCIA 0012022面向網(wǎng)絡(luò)安全保險的風(fēng)險評估指引范圍本文件給出了網(wǎng)絡(luò)安全保險投保階段的網(wǎng)絡(luò)安全風(fēng)險評估實施過程，提出了網(wǎng)絡(luò)安全保險通用場景 和數(shù)據(jù)安全、網(wǎng)絡(luò)勒索和業(yè)務(wù)連續(xù)性中斷三類典型場景的風(fēng)險計算方法。本文件適用于指導(dǎo)網(wǎng)絡(luò)安全服務(wù)提供商在網(wǎng)絡(luò)安全保險投保階段開展網(wǎng)絡(luò)安全風(fēng)險評估活動?？蔀?保險公司、再保險公司開展網(wǎng)絡(luò)安全保險業(yè)務(wù)前的風(fēng)險評估與風(fēng)險定價等提供指導(dǎo)，也可為網(wǎng)絡(luò)安全保 險投保人或被保險人開展網(wǎng)絡(luò)安全風(fēng)險自評估提供參考。規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文

9、件， 僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T 20984 信息安全技術(shù) 信息安全風(fēng)險評估規(guī)范GB/T 31509 信息安全技術(shù) 信息安全風(fēng)險評估實施指南GB/T 36687-2018 保險術(shù)語術(shù)語和定義GB/T 20984、GB/T 31509和GB/T 36687-2018界定的以及下列術(shù)語和定義適用于本文件。風(fēng)險 risk一個給定的威脅，利用一項資產(chǎn)或多項資產(chǎn)的脆弱性，對組織造成損害的潛能?？赏ㄟ^事件的概率及其后果進行度量。網(wǎng)絡(luò)安全風(fēng)險 cyber security risk人為或自然的威脅利用信息系統(tǒng)及其管理體系中存在的脆

10、弱性導(dǎo)致安全事件的發(fā)生及其對組織造成的影響。風(fēng)險評估 risk assessment風(fēng)險標(biāo)識、分析和評價的整個過程。網(wǎng)絡(luò)安全風(fēng)險評估 cyber security risk assessment依據(jù)有關(guān)網(wǎng)絡(luò)安全技術(shù)與管理標(biāo)準(zhǔn)，對信息系統(tǒng)及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行評價的過程。它要評估資產(chǎn)面臨的威脅以及威脅利用脆弱性導(dǎo)致安全事件的可 能性，并結(jié)合安全事件所涉及的資產(chǎn)價值來判斷安全事件一旦發(fā)生對組織造成的影響。網(wǎng)絡(luò)安全事件 cyber security incident網(wǎng)絡(luò)安全事件是由單個或一系列意外或有害的網(wǎng)絡(luò)安全事態(tài)所組成的，極有可能危害業(yè)務(wù)運行或威 脅信

11、息安全。安全控制 security controls為保護某一系統(tǒng)及其信息的保密性、完整性和可用性以及可核查性、真實性、抗抵賴性、私有性和 可靠性等,而對信息系統(tǒng)所選擇并施加的管理、操作和技術(shù)等方面的控制(即防御或?qū)?。資產(chǎn) asset1T/CCIA 0012022對組織具有價值的任何東西。威脅 threat可能導(dǎo)致對系統(tǒng)或組織危害的不希望事故潛在起因。脆弱性 vulnerability可能被威脅所利用的資產(chǎn)或若干資產(chǎn)的薄弱環(huán)節(jié)。評估要素 assessment factor風(fēng)險評估活動中必須要識別、分析的一系列基本因素。網(wǎng)絡(luò)安全保險 cybersecurity insurance網(wǎng)絡(luò)安全保險

12、是以投保人信息資產(chǎn)安全性（信息的完整性、機密性、有效性等）為保險標(biāo)的的保險 服務(wù)產(chǎn)品。對由于網(wǎng)絡(luò)安全事件給組織造成的負(fù)面影響進行賠償，賠償內(nèi)容既包括組織本身財產(chǎn)損失也 包含第三方賠償責(zé)任。投保人 applicant;proposer與保險人訂立保險合同，并按照保險合同負(fù)有支付保險費義務(wù)的人。被保險人 insured其財產(chǎn)或者人身受保險合同保障,享有保險金請求權(quán)的人。注：投保人可以為被保險人保險人 insurer又稱“承保人”，是指與投保人訂立保險合同，并承擔(dān)賠償或者給付保險金責(zé)任的保險公司。再保險人 reinsurer再保險人是指接受原 HYPERLINK /item/%E4%BF%9D%E9

13、%99%A9/262 保險人分出的再保險業(yè)務(wù)，對再保險合同的原保險人所發(fā)生的保險賠付承擔(dān)賠 償責(zé)任的主體，也叫再保險接受人或分入人、分入公司。風(fēng)險單位 unit of exposure HYPERLINK /item/%E4%BF%9D%E9%99%A9%E6%A0%87%E7%9A%84/1813672 保險標(biāo)的發(fā)生一次災(zāi)害事故可能造成的最大損失范圍。風(fēng)險單位的劃分標(biāo)準(zhǔn)應(yīng)根據(jù)不同的標(biāo)的和險 種來決定。概述實施原則最小影響對于信息系統(tǒng)的風(fēng)險評估，宜采用最小影響原則，即首要保障信息系統(tǒng)的穩(wěn)定運行，而對于需要進 行攻擊性測試的工作內(nèi)容，需與用戶溝通并進行應(yīng)急備份，同時選擇避開業(yè)務(wù)的高峰時間運行?？?/p>

14、觀誠信開展網(wǎng)絡(luò)安全保險安全風(fēng)險評估工作宜建立在雙方（投保人和評估方）誠信的基礎(chǔ)之上，投保人在 訪談過程中宜如實陳述或承諾自身的網(wǎng)絡(luò)安全情況，評估方在評估過程中宜客觀公正的記錄和分析投保 人的網(wǎng)絡(luò)安全情況。數(shù)據(jù)保護對在風(fēng)險評估過程中所接觸到的業(yè)務(wù)數(shù)據(jù)、系統(tǒng)數(shù)據(jù)及其他相關(guān)數(shù)據(jù)進行安全保護，包括但不限于： 人員操作行為審計、數(shù)據(jù)安全意識培訓(xùn)等，防止數(shù)據(jù)以任何形式被泄露、竊取和篡改，確保數(shù)據(jù)安全。2T/CCIA 0012022量化評估針對網(wǎng)絡(luò)安全保險業(yè)務(wù)的安全風(fēng)險評估宜最大程度地確保評估結(jié)果能夠量化，以便于后續(xù)保險業(yè)務(wù) 的開展。范圍完整網(wǎng)絡(luò)安全保險安全風(fēng)險評估宜以被評估組織的風(fēng)險單元作為評估工作的核心

15、，把涉及風(fēng)險單元相關(guān)的業(yè)務(wù)、系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)、應(yīng)用平臺等作為評估工作的重點范圍，全面評估風(fēng)險單元的網(wǎng)絡(luò)安全風(fēng)險。邊界明確網(wǎng)絡(luò)安全保險安全風(fēng)險評估時宜劃分風(fēng)險單位，根據(jù)投保人的業(yè)務(wù)類型、系統(tǒng)重要性、影響程度等 來明確評估單元。實施方法開展網(wǎng)絡(luò)安全保險安全風(fēng)險評估工作所采用的評估方法，主要包括訪談、檢查和測試3種。訪談是由評估人員與風(fēng)險單元相關(guān)的管理人員、操作人員、服務(wù)人員等進行談話，以促進對保險標(biāo) 的物安全控制措施實施情況的了解、分析或證據(jù)獲取。訪談的對象為個人或團體。注1：訪談對象可以是組織高管、CIO、信息安全機構(gòu)領(lǐng)導(dǎo)、信息系統(tǒng)安全管理員、運維人員、網(wǎng)絡(luò)和系統(tǒng)管理員、機房安全管理人員和用戶等

16、。檢查是由評估人員通過對管理制度、安全策略和機制、安全配置和設(shè)計文檔、運行記錄等進行觀察、 查驗、分析以幫助評估人員理解、分析或取得證據(jù)的過程。檢查的對象為規(guī)范、機制和活動。注2：檢查活動可以是評審信息安全策略規(guī)劃和程序、分析系統(tǒng)的設(shè)計文檔和接口規(guī)范、觀測系統(tǒng)的備份操作、審查應(yīng)急演練結(jié)果、觀察事件響應(yīng)活動、研究技術(shù)手冊和用戶管理員指南及檢查信息系統(tǒng)安全基線配置等。測試是由評估人員進行技術(shù)測試，通過人工或自動化安全測試工具獲得相關(guān)信息，并進行分析以幫 助評估人員獲取證據(jù)的過程。測試的對象為機制和活動。注3：測試方式可以是滲透測試、安全機制測試、安全基線核查、數(shù)據(jù)備份與恢復(fù)測試、事件響應(yīng)能力以及應(yīng)

17、急規(guī)劃演練能力測試等。險別分類常見的網(wǎng)絡(luò)安全保險險別分類見表1，其中，不同險別在脆弱性識別時會存在額外的拓展項，參見第8章。表 1常見的網(wǎng)絡(luò)安全保險險別分類序號大類險別描述1第一方損失應(yīng)急服務(wù)+數(shù)據(jù)恢復(fù)費用對被保險人因與下述事項有關(guān)所發(fā)生的合理費用和支出承擔(dān)相應(yīng)的賠償責(zé)任：確定電子數(shù)據(jù)是否能夠恢復(fù)、重建或重新收集；如有可能，恢復(fù)、重建或重新收集電子數(shù)據(jù)。2網(wǎng)絡(luò)勒索威脅和勒索支付款項保險人負(fù)責(zé)向被保險人進行補償，被保險人實際支付的因網(wǎng)絡(luò)勒索威脅直接引起的勒索費用和勒索支付款項。3營業(yè)收入損失和從屬營業(yè)收入損失被保險人因服務(wù)中斷在恢復(fù)期限內(nèi)發(fā)生的營業(yè)收入損失、從屬營業(yè)收入損失和額外費用，保險人向被

18、保險人進行補償。4第三者責(zé)任外包商數(shù)據(jù)安全責(zé)任被保險企業(yè)的信息外包服務(wù)商因遭遇未經(jīng)授權(quán)訪問導(dǎo)致信息泄露，被保險人被數(shù)據(jù)泄露信息主體起訴而產(chǎn)生的法定賠償責(zé)任5數(shù)據(jù)安全責(zé)任被保險企業(yè)信息系統(tǒng)遭受未經(jīng)授權(quán)訪，導(dǎo)致客戶信息泄露，被保險人被信息泄露主體起訴而產(chǎn)生的法定賠償責(zé)任注：保險相關(guān)描述最終以各保險公司條款為準(zhǔn)。投保流程相關(guān)參與方網(wǎng)絡(luò)安全保險投保階段的風(fēng)險評估過程一般涉及四個相關(guān)方，包括：3T/CCIA 0012022投保人/被保險人：投保人指與保險人訂立保險合同，并按照保險合同約定負(fù)有支付保費義務(wù)。 被保險人受保險合同保障,享有保險金請求權(quán)的人。投保人與被保險人可以為同一人。在網(wǎng)絡(luò)安全保險語境中，

19、投保人和被保險人指有潛在投保意愿，網(wǎng)絡(luò)安全能力達到一定水平的組織；保險人：提供網(wǎng)絡(luò)安全保險業(yè)務(wù)的保險公司；再保險人：提供網(wǎng)絡(luò)安全保險業(yè)務(wù)再保支持的公司；網(wǎng)絡(luò)安全服務(wù)提供商：為網(wǎng)絡(luò)安全保險提供風(fēng)險評估、技術(shù)支持等安全服務(wù)的公司。投保流程網(wǎng)絡(luò)安全保險投保流程見圖1，用來指導(dǎo)和規(guī)范網(wǎng)絡(luò)安全風(fēng)險評估方提供網(wǎng)絡(luò)安全保險安全風(fēng)險評估工作的實施。圖 1網(wǎng)絡(luò)安全保險投保流程4T/CCIA 0012022面向網(wǎng)絡(luò)安全保險的風(fēng)險評估實施流程評估流程網(wǎng)絡(luò)安全保險風(fēng)險評估活動分為風(fēng)險評估準(zhǔn)備、風(fēng)險要素識別、風(fēng)險分析與計算、風(fēng)險處理四個階 段，圖2給出了網(wǎng)絡(luò)安全保險風(fēng)險評估流程。圖 2網(wǎng)絡(luò)安全保險風(fēng)險評估流程評估準(zhǔn)備階

20、段保險人、再保險人在開展網(wǎng)絡(luò)安全保險業(yè)務(wù)時，通常涉及一些準(zhǔn)備活動，此類活動主要包括：向被評估方發(fā)送評估通知，告知評估相關(guān)內(nèi)容；與被評估方協(xié)調(diào)評估獲取擬投保人已經(jīng)實施的網(wǎng)絡(luò)安全控制措施；評估被保險人的網(wǎng)絡(luò)安全風(fēng)險；評估被保險人的經(jīng)營風(fēng)險。風(fēng)險評估要素識別階段在網(wǎng)絡(luò)安全保險風(fēng)險評估活動中，應(yīng)識別的風(fēng)險要素有業(yè)務(wù)、資產(chǎn)、威脅和脆弱性（含已有安全控 制措施），具體如下：業(yè)務(wù)識別。業(yè)務(wù)識別分為三個步驟：第一步是業(yè)務(wù)板塊識別、承載業(yè)務(wù)板塊功能的信息系統(tǒng)的識別，即識別組織擬投保的業(yè)務(wù)板塊有哪些，以及承載業(yè)務(wù)的信息系統(tǒng)有哪些；第二步是風(fēng)險單位的劃分；第三步是根據(jù)重要性分別對業(yè)務(wù)板塊、信息系統(tǒng)賦予權(quán)重，并得到被

21、評估方的認(rèn)可。具體步驟見 6.1；5T/CCIA 0012022資產(chǎn)識別。資產(chǎn)識別分三個步驟：第一步識別出各信息系統(tǒng)承載的資產(chǎn)數(shù)量、類型等；第二步根據(jù)資產(chǎn)重要性賦予不同的系數(shù)值。資產(chǎn)保密性、完整性和可用性是評價資產(chǎn)的三個安全屬性,結(jié)合擬投保標(biāo)的物在保險維度的價值，綜合上述維度將資產(chǎn)區(qū)分為 5 個級別（第 5 級最高）；第三步賦予權(quán)重，根據(jù)信息系統(tǒng)下承載的資產(chǎn)重要性分別賦值，并得到被評估方的認(rèn)可。具體步驟見 6.2；威脅識別。動機、能力和頻率是威脅的屬性，據(jù)此將威脅能力賦值劃分為 5 個級別（第 5 級最高），判斷依據(jù)應(yīng)在評估準(zhǔn)備階段根據(jù)歷史統(tǒng)計或行業(yè)判斷予以確定，并得到被評估方的認(rèn)可。具體步驟

22、見 6.3；脆弱性識別（含已有安全控制措施）。分成風(fēng)險類型、識別類、識別項、識別內(nèi)容四大類。根據(jù)網(wǎng)絡(luò)安全高低分為 5 個級別（第 5 級最高），每一個級別對應(yīng)區(qū)間分?jǐn)?shù)值。在做脆弱性識別時應(yīng)同時識別出已有安全控制措施，具體步驟見 6.4。風(fēng)險分析與計算階段網(wǎng)絡(luò)安全保險網(wǎng)絡(luò)風(fēng)險評估根據(jù)業(yè)務(wù)、資產(chǎn)、威脅、脆弱性（含已有安全控制措施）的估算評分， 計算得出風(fēng)險分值、風(fēng)險等級。具體如下：業(yè)務(wù)打分。具體步驟見 7.1；資產(chǎn)打分。具體步驟見 7.2；威脅打分。具體步驟見 7.3；脆弱性打分（含已有控制措施）。具體步驟見 7.4；計算綜合風(fēng)險分值、風(fēng)險等級。具體步驟見 7.5。保險人核保階段網(wǎng)絡(luò)安全服務(wù)提供商

23、按照第7章與第8章提供的步驟，計算得出保險標(biāo)的物的風(fēng)險等級、風(fēng)險分值等量化指標(biāo)后交付保險人。保險人再結(jié)合保險屬性（如評估被保險人的行業(yè)屬性、商業(yè)風(fēng)險、法律風(fēng)險、 歷史風(fēng)險發(fā)生情況等），決定是否承保，并提供保險報價。風(fēng)險要素識別業(yè)務(wù)識別業(yè)務(wù)識別時的數(shù)據(jù)可來自于熟悉組織業(yè)務(wù)結(jié)構(gòu)的業(yè)務(wù)人員或管理人員。業(yè)務(wù)識別即可通過訪談、文 檔查閱、資料查閱，還可通過對信息系統(tǒng)進行梳理后總結(jié)整理進行補充。業(yè)務(wù)識別需要識別出組織擬投保的業(yè)務(wù)板塊，承載各業(yè)務(wù)的信息系統(tǒng)數(shù)量、類型；并對業(yè)務(wù)板塊、 信息系統(tǒng)做風(fēng)險單位劃分；對業(yè)務(wù)板塊、信息系統(tǒng)的重要性賦予不同的權(quán)重。業(yè)務(wù)識別時應(yīng)針對業(yè)務(wù)流程，識別業(yè)務(wù)與信息系統(tǒng)、平臺或支撐系

24、統(tǒng)的邏輯關(guān)聯(lián)性，識別用于支撐業(yè)務(wù)活動的基礎(chǔ)設(shè)施、信息資產(chǎn)和資源。業(yè)務(wù)板塊識別業(yè)務(wù)板塊識別時可以參考：業(yè)務(wù)的定位、業(yè)務(wù)關(guān)聯(lián)性、業(yè)務(wù)完整性、業(yè)務(wù)流程。見表2。表 2業(yè)務(wù)板塊識別內(nèi)容分類示例定位業(yè)務(wù)：業(yè)務(wù)功能、業(yè)務(wù)對象、業(yè)務(wù)范圍。戰(zhàn)略地位：發(fā)展戰(zhàn)略中的業(yè)務(wù)屬性和職能定位、與發(fā)展戰(zhàn)略目標(biāo)的契合度、業(yè)務(wù)布局中的位置和作用、競爭關(guān)系中競爭力強弱等業(yè)務(wù)關(guān)聯(lián)性并列關(guān)系：業(yè)務(wù)與業(yè)務(wù)間并列關(guān)系包括業(yè)務(wù)間相互依賴或單向依賴，業(yè)務(wù)間共用同一信息系統(tǒng)，業(yè)務(wù)屬于同一業(yè)務(wù)流程的不同業(yè)務(wù)環(huán)節(jié)等父子關(guān)系：業(yè)務(wù)與業(yè)務(wù)之間存在包含關(guān)系等間接關(guān)系：通過其他業(yè)務(wù)，或者其他業(yè)務(wù)流程產(chǎn)生的關(guān)聯(lián)性等業(yè)務(wù)完整性獨立業(yè)務(wù)：業(yè)務(wù)獨立，整個業(yè)務(wù)流程

25、和環(huán)節(jié)閉環(huán)非獨立業(yè)務(wù)：業(yè)務(wù)屬于業(yè)務(wù)環(huán)節(jié)的某一部分。可能與其他業(yè)務(wù)具有關(guān)聯(lián)性。6T/CCIA 0012022表2（續(xù)）分類示例業(yè)務(wù)流程業(yè)務(wù)邏輯：業(yè)務(wù)的輸入、輸出、執(zhí)行過程中邏輯的完整性、可用性、合理性與安全性，通過詢問、查看或使用測試用例進行測試的方法進行業(yè)務(wù)流程識別，判斷流程中所涉及的業(yè)務(wù)邏輯是否得到完整、合理和安全的執(zhí)行。數(shù)據(jù)流：數(shù)據(jù)在業(yè)務(wù)流程中的流轉(zhuǎn)、在系統(tǒng)內(nèi)部或不同系統(tǒng)之間的輸入與輸出、相關(guān)接口等。流程管理審批：流程步驟、審評控制和人員等。業(yè)務(wù)流程分析關(guān)注業(yè)務(wù)數(shù)據(jù)流和業(yè)務(wù)控制流，既關(guān)注數(shù)據(jù)的流轉(zhuǎn)安全，也關(guān)注數(shù)據(jù)流的關(guān)鍵控制點。信息系統(tǒng)識別識別出某一業(yè)務(wù)板塊下承載的信息系統(tǒng)數(shù)量、類型等基本

26、信息。風(fēng)險單位劃分風(fēng)險單位劃分在保險中是指識別 HYPERLINK /item/%E4%BF%9D%E9%99%A9%E6%A0%87%E7%9A%84/1813672 保險標(biāo)的發(fā)生一次災(zāi)害事故可能造成的最大損失范圍，風(fēng)險單位識 別內(nèi)容見表3：表 3風(fēng)險單位識別內(nèi)容投保企業(yè)數(shù)量業(yè)務(wù)板塊數(shù)量承載業(yè)務(wù)的信息系統(tǒng)數(shù)量風(fēng)險單位識別方法111宜將該信息系統(tǒng)及其資產(chǎn)作為一個風(fēng)險單位，進行識別。11N宜將該業(yè)務(wù)板塊承載的所有信息系統(tǒng)及其資產(chǎn)作為一個風(fēng)險單位，進行識別。1N1宜將該信息系統(tǒng)及其資產(chǎn)作為一個風(fēng)險單位，進行識別。1NM宜將某業(yè)務(wù)板塊承載的所有信息系統(tǒng)及其資產(chǎn)作為一個風(fēng)險單位進行識別；無論業(yè)務(wù)板塊之

27、間是否存在共同承載的信息系統(tǒng)。賦予權(quán)重在進行業(yè)務(wù)板塊識別時，可以根據(jù)各業(yè)務(wù)板塊的重要性，分別對其設(shè)置不同權(quán)重（與被評估方溝通， 并得到認(rèn)可），為后續(xù)計算風(fēng)險分值時提供參照依據(jù)；對于某一業(yè)務(wù)板塊下承載的各個信息系統(tǒng)，可以根據(jù)各信息系統(tǒng)的重要性，分別對其設(shè)置不同權(quán)重（與被評估方溝通，并得到認(rèn)可），為后續(xù)計算風(fēng)險分值時提供參照依據(jù)。資產(chǎn)識別資產(chǎn)識別主要有兩個方面的內(nèi)容：一是識別出各信息系統(tǒng)承載的資產(chǎn)數(shù)量、類型等；二是根據(jù)資產(chǎn) 重要性賦予不同的系數(shù)值。資產(chǎn)分類識別資產(chǎn)識別包括根據(jù)資產(chǎn)類別進行識別、資產(chǎn)業(yè)務(wù)承載性識別和資產(chǎn)關(guān)聯(lián)性識別三個方面。根據(jù)資產(chǎn) 的表現(xiàn)形式，可將資產(chǎn)分為數(shù)據(jù)、服務(wù)、信息系統(tǒng)、平臺或

28、支撐系統(tǒng)、基礎(chǔ)設(shè)施、人員管理等。在實際 評估過程中，具體的資產(chǎn)分類方法可依據(jù)資產(chǎn)識別相關(guān)標(biāo)準(zhǔn)，經(jīng)與被評估方充分溝通，并得到認(rèn)可。表 4列出了一種資產(chǎn)分類方法。7T/CCIA 0012022表 4基于表現(xiàn)形式的資產(chǎn)分類方法類別分類示例業(yè)務(wù)生產(chǎn)數(shù)據(jù)：數(shù)據(jù)庫數(shù)據(jù)、分布式存儲系統(tǒng)數(shù)據(jù)等數(shù)據(jù)配置、審計、監(jiān)測數(shù)據(jù)：系統(tǒng)運行監(jiān)測數(shù)據(jù)、運行日志、軟硬件配置數(shù)據(jù)等文檔數(shù)據(jù)：系統(tǒng)文檔、運行管理規(guī)程、計劃、報告、用戶手冊、各類紙質(zhì)的文檔等系統(tǒng)軟件：操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、語句包、開發(fā)系統(tǒng)等信息系統(tǒng)應(yīng)用系統(tǒng)：業(yè)務(wù)系統(tǒng)等應(yīng)用軟件：辦公軟件、各類工具軟件、移動應(yīng)用軟件等源程序：各種共享源代碼、自行或合作開發(fā)的各種代碼等

29、平臺：支撐系統(tǒng)運行的基礎(chǔ)設(shè)施平臺，如云計算平臺、大數(shù)據(jù)平臺等虛擬化支撐系統(tǒng)：支撐系統(tǒng)運行的虛擬化系統(tǒng)，如虛擬機管理器和虛擬機等有形資產(chǎn)平臺或支撐系統(tǒng)支撐接口：信息系統(tǒng)依賴的第三方平臺接口，如云計算PaaS層服務(wù)向其他信息系統(tǒng)提供的服務(wù)接口等傳統(tǒng)支撐系統(tǒng)：操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、中間件、開發(fā)系統(tǒng)、語句包等網(wǎng)絡(luò)設(shè)備：路由器、網(wǎng)關(guān)、交換機等安全設(shè)備：防火墻、入侵檢測/防護系統(tǒng)、防病毒網(wǎng)關(guān)、態(tài)勢感知系統(tǒng)等計算機設(shè)備：大型機、小型機、服務(wù)器、工作站、臺式計算機、便攜計算機等基礎(chǔ)設(shè)施存儲設(shè)備：磁帶機、磁盤陣列、磁帶、光盤、軟盤、移動硬盤等傳輸線路：光纖、雙絞線等保障設(shè)備：UPS、變電設(shè)備、空調(diào)、保險柜、

30、文件柜、門禁、消防設(shè)施等智能終端：感知節(jié)點設(shè)備（物聯(lián)網(wǎng)感知終端）、移動終端等其他：打印機、復(fù)印機、掃描儀、傳真機等信息服務(wù)：對外依賴該系統(tǒng)開展的各類服務(wù)網(wǎng)絡(luò)服務(wù)：各種網(wǎng)絡(luò)設(shè)備、設(shè)施提供的網(wǎng)絡(luò)連接服務(wù)辦公服務(wù)：為提高效率而開發(fā)的管理信息系統(tǒng)，包括各種內(nèi)部配置管理、文件流服務(wù)轉(zhuǎn)管理等服務(wù)供應(yīng)鏈服務(wù)：為了支撐業(yè)務(wù)、信息系統(tǒng)運行、信息系統(tǒng)安全，第三方供應(yīng)鏈以及服務(wù)商提供的服務(wù)等平臺服務(wù)：對外依賴云計算平臺、態(tài)勢感知平臺等開展的各類服務(wù)，如云主機服無形資產(chǎn)務(wù)、云存儲服務(wù)等運維人員：對基礎(chǔ)設(shè)施、平臺、支撐系統(tǒng)、信息系統(tǒng)或數(shù)據(jù)進行運維的人員，網(wǎng)絡(luò)管理員、系統(tǒng)管理員等人員管理業(yè)務(wù)操作人員：對業(yè)務(wù)系統(tǒng)進行操作的

31、業(yè)務(wù)人員或管理員等安全管理人員：網(wǎng)絡(luò)安全管理員、網(wǎng)絡(luò)安全管理領(lǐng)導(dǎo)小組等外包服務(wù)人員：外包運維人員、外包安全服務(wù)或其他外包服務(wù)人員等聲譽：組織形象、組織信用其它知識產(chǎn)權(quán)：版權(quán)、專利等業(yè)務(wù)關(guān)系：客戶關(guān)系、組織關(guān)系、政府關(guān)系等對于提供多種業(yè)務(wù)的組織，其支持業(yè)務(wù)持續(xù)運行的業(yè)務(wù)組成形式較多，其資產(chǎn)承載情況較為復(fù)雜。 將信息系統(tǒng)作為紐帶，對資產(chǎn)進行業(yè)務(wù)承載性識別，為下一步的風(fēng)險評估打下基礎(chǔ)。資產(chǎn)業(yè)務(wù)承載性識別,可按照GB/T 31509確定評估對象中包含哪些信息系統(tǒng),每個信息系統(tǒng)處理哪些種類業(yè)務(wù),每種業(yè)務(wù)包括哪些具體業(yè)務(wù)功能,以及相關(guān)業(yè)務(wù)處理的流程。分析并清楚理解各種業(yè)務(wù)功能和流程,有利于分析系統(tǒng)中的數(shù)據(jù)

32、流向及其安全保證要求。資產(chǎn)具有關(guān)聯(lián)性，同一資產(chǎn)可能承載了不同的業(yè)務(wù)。在云計算平臺或大數(shù)據(jù)平臺，計算資源、網(wǎng)絡(luò) 資源和存儲資源進行了虛擬化，資產(chǎn)間的關(guān)聯(lián)性和安全性有更多相關(guān)性。資產(chǎn)關(guān)聯(lián)性識別確定承載哪些 業(yè)務(wù)，這些業(yè)務(wù)還涉及哪些其他相關(guān)資產(chǎn)，關(guān)聯(lián)資產(chǎn)的所有安全級別。賦予系數(shù)值根據(jù)資產(chǎn)重要性，分別對其設(shè)置不同系數(shù)值，為后續(xù)計算風(fēng)險分值時提供參照依據(jù)。賦予權(quán)重某一信息系統(tǒng)下承載的所有資產(chǎn)，根據(jù)其重要性分別賦予權(quán)重值（與被評估方溝通，并得到認(rèn)可）， 為后續(xù)計算風(fēng)險分值時提供參照依據(jù)。8T/CCIA 0012022威脅識別威脅分類威脅是一種客觀存在的，可能導(dǎo)致危害系統(tǒng)或組織的不希望事故的潛在起因。造成威

33、脅的因素可分為人為因素和環(huán)境因素。環(huán)境因素中包括自然界不可抗的因素和其它物理因素。根據(jù)威脅的動機，人為因素又可分為惡意和非惡意兩種。威脅作用形式可以是對信息系統(tǒng)直接或間接的攻擊，在機密性、完整性或可用性等方面造成損害；也可能是偶然、或蓄意的事件。在對威脅進行分類前，應(yīng)考慮威脅的來源， 見表5。表 5威脅來源列表來源描述環(huán)境因素斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、洪災(zāi)、火災(zāi)、地震、意外事故等環(huán)境危害或自然災(zāi)害，以及軟件、硬件、數(shù)據(jù)、通訊線路等方面的故障，或者依賴的第三方平臺或者信息系統(tǒng)等方面的故障。人為因素惡意人員不滿的或有預(yù)謀的內(nèi)部人員對信息系統(tǒng)進行惡意破壞；采用自主或內(nèi)外勾結(jié)的

34、方式盜竊機密信息或進行篡改，獲取利益。外部人員利用信息系統(tǒng)的脆弱性，對網(wǎng)絡(luò)或系統(tǒng)的保密性、完整性和可用性進行破壞，以獲取利益或炫耀能力。非惡意人員內(nèi)部人員由于缺乏責(zé)任心、不關(guān)心、不專注、未遵循規(guī)章制度和操作流程等導(dǎo)致故障或信息損壞；內(nèi)部人員由于缺乏培訓(xùn)、專業(yè)技能不足、不具備崗位技能要求而導(dǎo)致信息系統(tǒng)故障或被攻擊。威脅有多種分類方法，根據(jù)威脅產(chǎn)生的原因、表現(xiàn)和后果不同進行分類，見表6。表 6威脅分類方法種類描述威脅子類災(zāi)害性破壞由于不可抗力對信息系統(tǒng)造成物理破壞地震、戰(zhàn)爭、火災(zāi)、水災(zāi)、臺風(fēng)、雷擊、坍塌、火災(zāi)、恐怖襲擊、戰(zhàn)爭設(shè)備設(shè)施故障由于信息系統(tǒng)自身故障或外圍保障設(shè)施故障，造成信息系統(tǒng)異常或?qū)π?/p>

35、息系統(tǒng)當(dāng)前運行造成潛在危害軟硬件自身故障、外圍保障設(shè)施故障、人為破壞、其它設(shè)備設(shè)施故障信息內(nèi)容攻擊利用網(wǎng)絡(luò)發(fā)布、傳播危害國家安全、社會穩(wěn)定和公共利益、企業(yè)和個人利益的內(nèi)容的攻擊發(fā)布、傳播不良信息信息破壞通過網(wǎng)絡(luò)或其它手段，造成信息系統(tǒng)中的信息被篡改、假冒、泄露、竊取等信息篡改、信息假冒、信息泄露、信息竊取、信息丟失、其它信息破壞網(wǎng)絡(luò)攻擊通過網(wǎng)絡(luò)或其他手段，利用信息系統(tǒng)的配置缺陷、協(xié)議缺陷、程序缺陷或者使用暴力攻擊對信息系統(tǒng)實施攻擊， 并造成信息系統(tǒng)異?；?qū)π畔⑾到y(tǒng)當(dāng)前運行造成潛在危害拒絕服務(wù)攻擊、后門攻擊、漏洞攻擊、網(wǎng)絡(luò)掃描攻擊、網(wǎng)絡(luò)釣魚、干擾、其它網(wǎng)絡(luò)攻擊有害程序插入到信息系統(tǒng)中的一段程序，

36、危害系統(tǒng)中數(shù)據(jù)、應(yīng)用程序或操作系統(tǒng)的保密性、完整性和可用性，或影響信息系統(tǒng)的正常運行計算機病毒、蠕蟲、特洛伊木馬、僵尸網(wǎng)站、混合攻擊程序、網(wǎng)頁內(nèi)嵌惡意代碼、其它有害程序威脅能力識別不同的威脅源具有不同的攻擊能力，攻擊者的能力越強，攻擊成功的可能性就越大。衡量攻擊能力 的因素主要包括：施展攻擊的知識、技能、經(jīng)驗和必要的資金、人力和技術(shù)資源等。威脅頻率識別判斷威脅出現(xiàn)的頻率是威脅識別的重要內(nèi)容，評估方應(yīng)根據(jù)經(jīng)驗和有關(guān)的統(tǒng)計數(shù)據(jù)來進行判斷。在 評估中，需要綜合考慮以下四個方面，以形成在某種評估環(huán)境中各種威脅出現(xiàn)的頻率：以往安全事件報告中出現(xiàn)過的威脅及其頻率的統(tǒng)計；實際環(huán)境中通過檢測工具以及各種日志發(fā)

37、現(xiàn)的威脅及其頻率的統(tǒng)計；實際環(huán)境中的監(jiān)測數(shù)據(jù)發(fā)現(xiàn)的威脅及其頻率的統(tǒng)計；近一兩年來國際組織發(fā)布的對于整個社會或特定行業(yè)的威脅及其頻率統(tǒng)計，以及發(fā)布的威脅預(yù)警。9T/CCIA 0012022脆弱性識別脆弱性分類識別脆弱性本身不會造成損害，它被某個威脅所利用才會造成損害。如果脆弱性沒有對應(yīng)的威脅，則無 需實施控制措施，但應(yīng)注意并監(jiān)視他們是否發(fā)生變化。應(yīng)注意，控制措施的不合理實施、控制措施故障 或控制措施的誤用本身也是脆弱性?？刂拼胧┮蚱溥\行的環(huán)境，可能有效或無效。相反，如果威脅沒有 對應(yīng)的脆弱性，也不會導(dǎo)致風(fēng)險。脆弱性可從管理和技術(shù)兩個方面進行審視。管理脆弱性與擬投保組織整體管理環(huán)境有關(guān)，管理脆弱性

38、識別以擬投保組織為單位，一個擬投保組織做一次管理脆弱識別；技術(shù)脆弱性與具體技術(shù)活動相關(guān)， 技術(shù)脆弱性識別以信息系統(tǒng)為單位，一個信息系統(tǒng)做一次技術(shù)脆弱性識別。脆弱性識別針對保險標(biāo)的識別可能被威脅利用的弱點，并對脆弱性的嚴(yán)重程度進行評估。表7提供了一種脆弱性識別方法。表 7脆弱性識別方法類型識別類識別項管理脆弱性（組織層面）安全管理管理制度組織機構(gòu)人員安全意識培訓(xùn)外包商管理供應(yīng)鏈管理資產(chǎn)管理漏洞管理郵件管理定期評估應(yīng)急響應(yīng)備份恢復(fù)合規(guī)評估技術(shù)脆弱性（信息系統(tǒng)層面）安全防護物理安全邊界防護安全審計訪問控制身份鑒別入侵防范監(jiān)測預(yù)警上網(wǎng)行為監(jiān)測惡意代碼監(jiān)測情報應(yīng)用注：根據(jù)保險業(yè)務(wù)開展特性，脆弱性識別（已

39、有安全控制措施）內(nèi)容采用“是否”提問方式進行。在脆弱性賦值時， 若相關(guān)脆弱性存在，則賦予對應(yīng)權(quán)重分值。附錄A提供了脆弱性識別內(nèi)容的詳細清單。賦予系數(shù)值在進行業(yè)務(wù)板塊識別時，根據(jù)測評項的重要性，分別對其設(shè)置不同系數(shù)值，為后續(xù)計算風(fēng)險分值時 提供參照依據(jù)。已有安全控制措施識別已有安全控制措施確認(rèn)與脆弱性識別存在內(nèi)在的聯(lián)系。詳見附錄B已有安全控制措施確認(rèn)表。10T/CCIA 0012022網(wǎng)絡(luò)安全保險通用場景風(fēng)險計算概述結(jié)合網(wǎng)絡(luò)安全保險風(fēng)險評估的實際情況，對業(yè)務(wù)（重要性）、資產(chǎn)（重要性）、威脅（威脅動機、 威脅能力、威脅頻率）、脆弱性（結(jié)合已有安全控制措施）分別進行計算，最終得出一個具體的風(fēng)險分值（

40、0-100分之間），并在風(fēng)險分值的基礎(chǔ)上，再劃分風(fēng)險等級，風(fēng)險分值與風(fēng)險等級用于評判、衡量擬投保保險標(biāo)的網(wǎng)絡(luò)安全風(fēng)險狀況。業(yè)務(wù)風(fēng)險計算對已經(jīng)識別的業(yè)務(wù)板塊、及某一業(yè)務(wù)板塊下承載的信息系統(tǒng)，根據(jù)其重要性，分別賦予不同的權(quán)重 值，表8提供了一種針對業(yè)務(wù)權(quán)重賦值的參考。表 8權(quán)重賦值方法等級標(biāo)識權(quán)重值（百分比）描述5很高100%業(yè)務(wù)或業(yè)務(wù)流程在戰(zhàn)略中極其重要，在戰(zhàn)略的屬性及職能定位層面具有重大影響，在戰(zhàn)略的發(fā)展目標(biāo)層面中短期目標(biāo)或長期目標(biāo)中占據(jù)極其重要的地位，在業(yè)務(wù)規(guī)劃層面與較多業(yè)務(wù)交叉性強，是多個業(yè)務(wù)流程的重要環(huán)節(jié)。4高10070（含）%業(yè)務(wù)或業(yè)務(wù)流程在戰(zhàn)略中較為重要，在戰(zhàn)略的屬性及職能定位層面具

41、有較大影響，在戰(zhàn)略的發(fā)展目標(biāo)層面中短期目標(biāo)或長期目標(biāo)中占據(jù)極其重要的地位，在業(yè)務(wù)規(guī)劃層面與較多業(yè)務(wù)交叉性存在交叉性。3中等7040（含）%業(yè)務(wù)或業(yè)務(wù)流程在戰(zhàn)略中具有一定重要性，在戰(zhàn)略的屬性及職能定位層面具有一定影響，在戰(zhàn)略的發(fā)展目標(biāo)層面中短期目標(biāo)或長期目標(biāo)中占據(jù)重要的地位，在業(yè)務(wù)規(guī)劃層面與其他業(yè)務(wù)存在一定交叉性。2低4020（含）%業(yè)務(wù)或業(yè)務(wù)流程在戰(zhàn)略中具有一定重要性，在戰(zhàn)略的屬性及職能定位層面具有較低影響，在戰(zhàn)略的發(fā)展目標(biāo)層面中短期目標(biāo)或長期目標(biāo)中占據(jù)一定的地位，在業(yè)務(wù)規(guī)劃層面與其他業(yè)務(wù)存在較小的交叉性。1很低200%業(yè)務(wù)或業(yè)務(wù)流程在戰(zhàn)略中具有一定重要性，在戰(zhàn)略的屬性及職能定位層面具有較低影

42、響，在戰(zhàn)略的發(fā)展目標(biāo)層面中短期目標(biāo)或長期目標(biāo)中占據(jù)較低的地位，在業(yè)務(wù)規(guī)劃層面相對獨立。資產(chǎn)風(fēng)險計算系數(shù)值根據(jù)業(yè)務(wù)重要程度，資產(chǎn)分為5個級別（第5級最高），業(yè)務(wù)重要程度越高，以及對資產(chǎn)的依賴程度 越高，資產(chǎn)等級就越高，見表9。表 9資產(chǎn)分級與價值系數(shù)等級標(biāo)識系數(shù)值描述5很高1非常重要，其安全屬性破壞后造成系統(tǒng)大面積癱瘓，使其喪失業(yè)務(wù)處理能力，或系統(tǒng)關(guān)鍵數(shù)據(jù)的保密性、完整性、可用性遭到嚴(yán)重破壞，恢復(fù)系統(tǒng)正常運行和消除安全事件負(fù)面影響所需付出的代價十分巨大，對于事發(fā)組織是不可承受的；4高0.98重要，其安全屬性破壞后造成系統(tǒng)長時間中斷或局部癱瘓，使其業(yè)務(wù)處理能力受到極大影響，或系統(tǒng)關(guān)鍵數(shù)據(jù)的保密性、

43、完整性、可用性遭到破壞，恢復(fù)系統(tǒng)正常運行和消除安全事件負(fù)面影響所需付出的代價巨大，但對于事發(fā)組織是可承受的；11T/CCIA 0012022表9（續(xù)）等級標(biāo)識系數(shù)值描述3中等0.95比較重要，其安全屬性破壞后造成系統(tǒng)中斷，明顯影響系統(tǒng)效率，使重要信息系統(tǒng)或一般信息系統(tǒng)業(yè)務(wù)處理能力受到影響， 或系統(tǒng)重要數(shù)據(jù)的保密性、完整性、可用性遭到破壞，恢復(fù)系統(tǒng)正常運行和消除安全事件負(fù)面影響所需付出的代價較大，但對于事發(fā)組織是完全可以承受的；2低0.9不太重要，其安全屬性破壞后造成系統(tǒng)短暫中斷，影響系統(tǒng)效率，使系統(tǒng)業(yè)務(wù)處理能力受到影響，或系統(tǒng)重要數(shù)據(jù)的保密性、完整性、可用性遭到影響，恢復(fù)系統(tǒng)正常運行和消除安全

44、事件負(fù)面影響所需付出的代價較小。1很低0.8不重要，其安全屬性破壞后對組織造成導(dǎo)很小的損失，甚至忽略不計權(quán)重某一信息系統(tǒng)下承載的所有資產(chǎn)，根據(jù)其重要性分別賦予權(quán)重值（與被評估方溝通，并得到認(rèn)可）， 具體的權(quán)重賦值方法可參考表8。威脅風(fēng)險計算威脅等級可劃分為5個級別（第5級最高）。依據(jù)威脅動機、威脅能力、威脅頻率，采用加權(quán)方式（依 據(jù)威脅程度，權(quán)值建議采用不同權(quán)值）確定威脅等級。在實際的評估中，威脅的判斷依據(jù)應(yīng)根據(jù)歷史統(tǒng) 計或行業(yè)判斷予以確定，并得到被評估方的認(rèn)可，見表10。表 10威脅系數(shù)表等級標(biāo)識系數(shù)值定義5很高1威脅很高4高0.98威脅高3中等0.95威脅中等2低0.9威脅低1很低0.8威

45、脅幾乎不可能發(fā)生脆弱性風(fēng)險計算計算步驟計算分成以下幾個步驟：計算管理脆弱性分值，在組織層面對脆弱性做整體風(fēng)險識別并得出管理脆弱性分值；將管理脆弱性分值轉(zhuǎn)換為對應(yīng)的系數(shù)值；計算技術(shù)脆弱性分值，在信息系統(tǒng)層面對脆弱性做風(fēng)險識別并賦值，該信息系統(tǒng)承載的資產(chǎn)統(tǒng)一繼承信息系統(tǒng)的脆弱性賦值；計算整體脆弱性分值，整體脆弱性分值=管理脆弱性分值對應(yīng)的系數(shù)值技術(shù)脆弱性分值。計算公式計算公式如下所示：V=n1WkXk(1)k=1n式中：V脆弱性風(fēng)險分值n風(fēng)險評估項數(shù)Wk 權(quán) 重 ， Xk風(fēng)險評估分值表11為權(quán)重表，將某一風(fēng)險評估項根據(jù)重要性劃分三檔權(quán)重值，“一般風(fēng)險評估指標(biāo)”權(quán)重0.4、“重要風(fēng)險評估指標(biāo)”權(quán)重0

46、.7、“關(guān)鍵風(fēng)險評估指標(biāo)”權(quán)重1。12T/CCIA 0012022表12為測評結(jié)果分值表，該表中“風(fēng)險評估結(jié)果”值為附錄B已有安全性措施選項得分；“得分” 值為附錄B已有安全性措施實施效果得分。分成三檔：是（達到要求）0分，（部分達到要求）0.5分、否（未達到要求）1分。表 11三檔權(quán)重值指標(biāo)重要性權(quán)重一般風(fēng)險評估指標(biāo)0.4重要風(fēng)險評估指標(biāo)0.7關(guān)鍵風(fēng)險評估指標(biāo)1表 12風(fēng)險評估分值風(fēng)險評估結(jié)果得分說明是（達到要求）0分1、“風(fēng)險評估結(jié)果”值為附錄B已有安全性措施選項部分達到要求0.5分2、“得分”值為附錄B已有安全性措施實施效果得分3、如同一風(fēng)險評估項目，遇到多個對象的，所有對象結(jié)果不一致否

47、（未達到要求）1分時，最后結(jié)果是“部分達到要求”，這里不按少數(shù)服從多數(shù)來取最后的結(jié)果，例如：達到要求、部分達到要求、部分達到要求部分達到要求，而不是未到達要求。不適用不計入公式中脆弱性分值經(jīng)過識別、分析計算出的脆弱性分值對應(yīng)脆弱性的5個級別（第5級最高），見表13。表 13脆弱性分值與分級等級標(biāo)識分值與分值對應(yīng)的系數(shù)值（用于管理脆弱性變換）5很高10090（含）14高9080（含）0.983中等8070（含）0.952低7060（含）0.91很低600.8風(fēng)險分值的計算風(fēng)險分值計算步驟風(fēng)險分值計算步驟如下：計算資產(chǎn)風(fēng)險分值：以某資產(chǎn)為單位，計算風(fēng)險分值；計算信息系統(tǒng)風(fēng)險分值：各資產(chǎn)風(fēng)險分值加權(quán)

48、后，得出這些資產(chǎn)承載的信息系統(tǒng)的風(fēng)險分值；計算業(yè)務(wù)板塊風(fēng)險分值：業(yè)務(wù)板塊承載的各信息系統(tǒng)，加權(quán)后計算風(fēng)險分值；計算投保標(biāo)的物風(fēng)險分值：各業(yè)務(wù)板塊風(fēng)險分值加權(quán)后，計算投保標(biāo)的物的風(fēng)險分值。風(fēng)險分值計算公式風(fēng)險分值計算公式如下：計算安全事件發(fā)生可能性：式 中 ： L安全事件發(fā)生的可能性T威脅系數(shù)值（發(fā)生頻率） V脆弱性分值（嚴(yán)重程度）計算安全事件的損失L =T V(1)F =La V(2)13T/CCIA 0012022式中：F 安 全 事 件 損 失 La資產(chǎn)系數(shù)值（發(fā)生頻率） V脆弱性分值（嚴(yán)重程度）計算安全事件風(fēng)險分值式 中 ： R安全事件風(fēng)險分值L安全事件發(fā)生可能性F安全事件損失風(fēng)險分值與

49、風(fēng)險等級R = L F(3)風(fēng)險分值與風(fēng)險等級需區(qū)分通用場景及包含主要險種的場景。通用場景的風(fēng)險分值、風(fēng)險等級與核保建議經(jīng)過上述風(fēng)險評估全部流程，最終計算的風(fēng)險分值和風(fēng)險等級、核保之間的對應(yīng)關(guān)系，見表14。表 14風(fēng)險分值與風(fēng)險等級、核保之間的對應(yīng)關(guān)系風(fēng)險等級風(fēng)險分值內(nèi)容描述核保建議特別重大風(fēng)險10090（含）被測對象中存在極嚴(yán)重的安全問題，需要立即整改不建議承保重大風(fēng)險9060（含）被測對象中存在較嚴(yán)重的安全問題，需要立即加固加固后承保中等風(fēng)險6020（含）被測對象中存在安全問題，但不會導(dǎo)致被測對象面臨高等級安全風(fēng)險加固后承保一般風(fēng)險2010（含）被測對象中存在安全問題，但不會導(dǎo)致被測對象面

50、臨高、中等級安全風(fēng)險加固后承保低風(fēng)險100（含）被測對象安全風(fēng)險較小建議承保包含主要險種的風(fēng)險分值、風(fēng)險等級與承保建議 風(fēng)險分值=通用場景的風(fēng)險分值+典型場景的風(fēng)險分值注：典型場景的風(fēng)險值計算見第8章，風(fēng)險等級、核保建議見表14。網(wǎng)絡(luò)安全保險典型場景風(fēng)險計算數(shù)據(jù)安全場景概述數(shù)據(jù)安全場景的風(fēng)險可被網(wǎng)絡(luò)安全保險大類中第一方損失和第三者責(zé)任項下責(zé)任承保，保險險別包 含且不限于：應(yīng)急服務(wù)+數(shù)據(jù)修復(fù)責(zé)任、外包商數(shù)據(jù)安全責(zé)任、數(shù)據(jù)安全責(zé)任等。附錄C提出了典型場景 已有安全控制措施清單。資產(chǎn)識別數(shù)據(jù)安全場景的風(fēng)險評估資產(chǎn)識別按照6.2開展。威脅識別數(shù)據(jù)安全場景的風(fēng)險評估威脅識別按照6.3開展。脆弱性識別數(shù)據(jù)

51、安全場景的風(fēng)險評估脆弱性識別（含已有控制措施）除了按照6.4開展外，還應(yīng)識別表15中所列出的擴展識別項及內(nèi)容。14T/CCIA 0012022表 15數(shù)據(jù)安全場景脆弱性識別擴展項類型識別類識別項識別內(nèi)容權(quán)重管理脆弱性（組織層面）安全管理管理制度是否有健全的數(shù)據(jù)安全管理辦法和規(guī)范。（可覆蓋數(shù)據(jù)安全全生命周期）1組織機構(gòu)是否設(shè)置負(fù)責(zé)數(shù)據(jù)安全保護相關(guān)事宜的首席責(zé)任崗位定期評估是否定期開展數(shù)據(jù)安全風(fēng)險評估是否定期開展個人信息安全影響評估應(yīng)急響應(yīng)是否具有針對數(shù)據(jù)泄露、數(shù)據(jù)破壞等數(shù)據(jù)安全事件場景下的專項應(yīng)急預(yù)案程序備份是否備份了適用的驅(qū)動程序或應(yīng)用程序安裝文件（與備份，軟件許可協(xié)議等一起存儲）是否定期檢測

52、備份恢復(fù)系統(tǒng)功能有效性數(shù)據(jù)安全數(shù)據(jù)分類分級是否開展數(shù)據(jù)分類分級工作是否制定數(shù)據(jù)分類分級策略、方法及制度是否有數(shù)據(jù)發(fā)現(xiàn)及數(shù)據(jù)識別工具或產(chǎn)品數(shù)據(jù)采集是否在數(shù)據(jù)采集時告知用戶數(shù)據(jù)采集目的及用途，并最小化采集數(shù)據(jù)是否符合合法性及正當(dāng)性要求是否在數(shù)據(jù)采集時按照統(tǒng)一標(biāo)準(zhǔn)及要求，規(guī)范數(shù)據(jù)入庫操作是否對數(shù)據(jù)源進行身份鑒別和記錄，并對數(shù)據(jù)進行標(biāo)識數(shù)據(jù)存儲是否對重要業(yè)務(wù)信息、系統(tǒng)數(shù)據(jù)、軟件系統(tǒng)等對象具備并維持本地備份及恢復(fù)程序是否定期執(zhí)行數(shù)據(jù)備份和恢復(fù)是否與數(shù)據(jù)存儲平臺系統(tǒng)管理人員簽訂保密協(xié)議是否按照數(shù)據(jù)訪問權(quán)限管理制度和數(shù)據(jù)存儲安全策略，針對不同數(shù)據(jù)存儲平臺系統(tǒng)配備對用戶或業(yè)務(wù)（是否用程序）的訪問控制措施，確保

53、非授權(quán)用戶或業(yè)務(wù)（是否用程序）不能訪問數(shù)據(jù)數(shù)據(jù)處理是否使用未脫敏的數(shù)據(jù)用于業(yè)務(wù)系統(tǒng)的開發(fā)測試是否完整記錄數(shù)據(jù)使用過程中的操作日志數(shù)據(jù)導(dǎo)出是否有明確的安全評估和授權(quán)審批流程數(shù)據(jù)傳輸是否采取加密、脫敏、去標(biāo)識化等技術(shù)手段保護重要數(shù)據(jù)、敏感數(shù)據(jù)及個人信息等的安全重要數(shù)據(jù)（包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)和重要個人信息等）在傳輸過程中是否采用密碼技術(shù)保證其機密性重要數(shù)據(jù)（包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)和重要個人信息等）在傳輸過程中是否采用校驗技術(shù)或密碼技術(shù)保證其完整性是否建立相應(yīng)審批流程，對跨組織機構(gòu)或使用互聯(lián)網(wǎng)的數(shù)據(jù)傳輸事項進行前置審批數(shù)據(jù)交換是否在隱私政策中允許與第三方共享數(shù)據(jù)是否提供對外的

54、數(shù)據(jù)接口是否定期對本企業(yè)對外數(shù)據(jù)接口進行清查，對不符合要求的對外數(shù)據(jù)接口立刻予以關(guān)停共享數(shù)據(jù)的“第三方”是否建立了相關(guān)信息安全相關(guān)規(guī)范制度數(shù)據(jù)銷毀是否建立針對重要數(shù)據(jù)的刪除、凈化機制是否建立數(shù)據(jù)銷毀審批機制，設(shè)置銷毀相關(guān)監(jiān)督角色，監(jiān)督操作過程，留存審批記錄至少不少于6個月是否對數(shù)據(jù)的批量銷毀采用雙人操作模式，單人不得擁有完整操作權(quán)限15T/CCIA 0012022表15（續(xù)）類型識別類識別項識別內(nèi)容權(quán)重數(shù)據(jù)審計是否有針對數(shù)據(jù)庫記錄、數(shù)據(jù)安全產(chǎn)品日志的審計是否針對數(shù)據(jù)全生命周期各階段開展審計是否有數(shù)據(jù)庫審計系統(tǒng)等審計工具或產(chǎn)品安全運營是否有數(shù)據(jù)泄露防護產(chǎn)品或數(shù)據(jù)運營平臺注：“數(shù)據(jù)安全”識別類及其

55、對應(yīng)的識別項均為新增加。表C.1提供了數(shù)據(jù)安全場景已有安全控制措施識別清單。網(wǎng)絡(luò)勒索場景概述網(wǎng)絡(luò)勒索場景的風(fēng)險可被網(wǎng)絡(luò)安全保險大類中的第一方損失項下責(zé)任承保，保險險別包含且不限于： 網(wǎng)絡(luò)勒索威脅和勒索支付費用責(zé)任。業(yè)務(wù)識別網(wǎng)絡(luò)勒索場景的風(fēng)險評估業(yè)務(wù)識別按照6.1開展。資產(chǎn)識別網(wǎng)絡(luò)勒索場景的風(fēng)險評估資產(chǎn)識別按照6.2開展。威脅識別網(wǎng)絡(luò)勒索場景的風(fēng)險評估威脅識別按照6.3開展。脆弱性識別網(wǎng)絡(luò)勒索場景的風(fēng)險評估脆弱性識別（含已有控制措施）除了按照6.4開展外，還應(yīng)識別表16中所列出的擴展識別項及內(nèi)容。表C.2提供了網(wǎng)絡(luò)勒索場景已有安全控制措施識別清單。表 16網(wǎng)絡(luò)勒索場景脆弱性識別擴展項類型識別類識

56、別項識別內(nèi)容權(quán)重管理脆弱性（組織層面）安全管理管理制度是否建立了網(wǎng)絡(luò)安全勒索情報的收集、處理、管理機制1，是否建立針對網(wǎng)絡(luò)勒索事件的報送機制和對外信息共享、聯(lián)動機制意識培訓(xùn)是否開展了網(wǎng)絡(luò)勒索防范的專項培訓(xùn)，其中包括有關(guān)如何識別和報告可疑活動或事件的方法（例如網(wǎng)絡(luò)釣魚）是否在組織范圍內(nèi)進行過網(wǎng)絡(luò)釣魚測試，以評估員工的安全意識，增強識別潛在惡意電子郵件的能力郵件管理是否實施了基于域的郵件身份驗證策略應(yīng)急響應(yīng)是否制定了專門針對網(wǎng)絡(luò)勒索場景的應(yīng)急響應(yīng)制度和流程是否開展過組織層面的網(wǎng)絡(luò)勒索專項應(yīng)急演練程序備份是否備份了適用的驅(qū)動程序或應(yīng)用程序安裝文件（與備份軟件許可協(xié)議等一起存儲）是否定期檢測備份恢復(fù)系

57、統(tǒng)功能有效性技術(shù)脆弱性（信息系統(tǒng)層面）安全防護入侵防范是否對弱口令做監(jiān)測1是否已通過禁用或修改默認(rèn)端口的形式防范遠程登錄風(fēng)險監(jiān)測預(yù)警惡意代碼監(jiān)測是否采取技術(shù)措施防止并阻斷勒索軟件在組織內(nèi)部的傳送和傳播是否在所有資產(chǎn)上實施應(yīng)用程序控制，以確保只運行授權(quán)的軟件和進程，并且阻止所有未經(jīng)授權(quán)的軟件行是否采取技術(shù)措施檢測勒索軟件及其他惡意軟件16T/CCIA 0012022業(yè)務(wù)連續(xù)性中斷場景概述業(yè)務(wù)連續(xù)性中斷場景的風(fēng)險可被網(wǎng)絡(luò)安全保險大類中的第一方損失項下責(zé)任承保，保險險別包含且 不限于：營業(yè)中斷損失責(zé)任（包含營業(yè)收入損失、從屬營業(yè)收入損失、利潤損失等）。業(yè)務(wù)識別業(yè)務(wù)連續(xù)性中斷場景的風(fēng)險評估業(yè)務(wù)識別按照

58、6.1開展。資產(chǎn)識別業(yè)務(wù)連續(xù)性中斷場景的風(fēng)險評估資產(chǎn)識別按照6.2開展。威脅識別業(yè)務(wù)連續(xù)性中斷場景的風(fēng)險評估威脅識別除了按照6.3開展以外，需重點關(guān)注表17所列威脅：表 17業(yè)務(wù)連續(xù)性中斷場景威脅識別擴展項編號威脅源威脅描述威脅等級資產(chǎn)威脅系數(shù)值1拒絕服務(wù)攻擊攻擊服務(wù)器使業(yè)務(wù)無法響應(yīng)正常訪問，很高應(yīng)用服務(wù)器12分布式拒絕服務(wù)攻擊多個攻擊者同時向業(yè)務(wù)系統(tǒng)發(fā)動攻擊耗盡系統(tǒng)資源導(dǎo)致業(yè)務(wù)無法訪問3勒索攻擊加密業(yè)務(wù)數(shù)據(jù)導(dǎo)致無法正常使用，并索取贖金數(shù)據(jù)庫服務(wù)器脆弱性識別業(yè)務(wù)連續(xù)性中斷場景風(fēng)險評估脆弱性識別（含已有控制措施）除了按照6.4開展外，還應(yīng)識別表18 中所列出的擴展識別項及內(nèi)容。表C.3提供了業(yè)務(wù)

59、連續(xù)性中斷場景已有安全控制措施識別清單。表 18業(yè)務(wù)連續(xù)性中斷場景脆弱性識別擴展項類型識別類識別項識別內(nèi)容權(quán)重管理脆弱性（組織層面）安全管理應(yīng)急響應(yīng)是否有針對服務(wù)器故障、業(yè)務(wù)系統(tǒng)故障、重要網(wǎng)絡(luò)設(shè)備故障等場景導(dǎo)致重要業(yè)務(wù)連續(xù)性中斷的專項應(yīng)急預(yù)案1是否有針對防護設(shè)備誤攔截正常業(yè)務(wù)導(dǎo)致連續(xù)性中斷的應(yīng)急預(yù)案程序備份是否備份了適用的驅(qū)動程序或應(yīng)用程序安裝文件（與備份，軟件許可協(xié)議等一起存儲）是否定期檢測備份恢復(fù)系統(tǒng)功能有效性技術(shù)脆弱性（信息系統(tǒng)層面）安全防護物理安全是否設(shè)置冗余或并行的電力電纜線路為計算機系統(tǒng)供電是否提供短期的備用電力供應(yīng)，至少滿足設(shè)備在斷電情況下的正常運行要求邊界防護是否提供關(guān)鍵邊界防

60、護設(shè)備的硬件冗余是否存在可以直接中斷關(guān)鍵業(yè)務(wù)會話的特征匹配規(guī)則監(jiān)測預(yù)警惡意代碼監(jiān)測是否將關(guān)鍵業(yè)務(wù)進程設(shè)定為防病毒白名單典型場景風(fēng)險值計算R = L1 R1 L2 R2 L3 R3(1)lll式 中 ： R典型場景風(fēng)險分值R1數(shù)據(jù)安全場景風(fēng)險分值R2網(wǎng)絡(luò)勒索場景風(fēng)險分值R3業(yè)務(wù)連續(xù)性中斷場景風(fēng)險分值17T/CCIA 0012022L1數(shù)據(jù)安全場景險種賠償限額 L2網(wǎng)絡(luò)勒索場景險種賠償限額 L3業(yè)務(wù)連續(xù)性中斷場景險種賠償限額l保單賠償限額附錄D給出了示例，按照風(fēng)險評估流程，計算風(fēng)險分值。18T/CCIA 0012022附錄A（資料性） 脆弱性識別表脆弱性識別與權(quán)重賦值見表A.1。表 A.1 脆弱性