GB/T31509征求意见稿来了!信息安全风险评估实施指南八大核心变化

admin 2026-07-15 05:24:19 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: GB/T31509征求意见稿对2015版进行结构性重构,删除风险处理章节,新增风险评价准则、业务重要性与承载性属性、威胁三维量化模型等七大核心内容。新版强调业务驱动,引入资产赋值新公式和业务风险计算链路,并统一各阶段文档输出要求。建议从业者提前熟悉新赋值体系,利用附录模板,实现等保测评与风险评估的协同。 综合评分: 86 文章分类: 安全建设,技术标准,解决方案,应急响应


cover_image

GB/T 31509征求意见稿来了!信息安全风险评估实施指南八大核心变化

等级保护那些事

2026年7月14日 11:04 湖北

在小说阅读器读本章

去阅读

各位等保圈的老铁们,GB/T 31509《网络安全技术 信息安全风险评估实施指南》征求意见稿正式发布,这是对2015版的全面修订升级。

这次修订不是小修小补,而是结构性重构——删除了4个章节,新增了7大核心内容,附录从6个扩充到10个,实用性和操作性大幅提升。对于做等级保护测评和风险评估的从业者来说,这些变化直接影响你的工作方法和交付物。

这份标准的定位

征求意见稿引言明确指出:本文件是GB/T 20984-2022的操作性指导文件。也就是说:

| | | | | | — | — | — | — | | 序号 | 标准 | 定位 | 说明 | | 1 | GB/T20984 | 方法论 | 告诉你”风险评估该怎么做”的方法框架 | | 2 | GB/T31509 | 实施指南 | 告诉你”具体每一步怎么干”的操作手册 |

关键关系 两份标准配合使用:20984定框架,31509给操作细节。征求意见稿的核心修订逻辑就是跟随20984-2022的变化进行适应性修订,同时大幅增强实操性。

删除了什么?

与2015版相比,征求意见稿做了以下删除:

| | | | — | — | | 删除内容 | 说明 | | “标准化原则”章节 | 原4.1,已不再适用 | | “风险评估工作形式” | 内容迁移至4.3,精简整合 | | “信息系统生命周期内的风险评估” | 改为附录A(资料性),降低正文负担 | | “风险处理”章节 | 风险评估标准聚焦”评估”,处理不在本标准范围 |

⚠️ 重点关注 删除”风险处理”章节是本次修订最大的结构性变化。这意味着新版标准更加聚焦于风险评估本身,不再包含风险处置的内容。做项目时,风险处理需参照其他标准或组织自身管理制度。

新增了什么?(核心重点)

这是本次修订最值得关注的部分。征求意见稿新增了七大核心内容,每一个都直接影响实操:

📘 [5.1阶段] 风险评价准则

新版在评估准备阶段新增了风险评价准则(5.1.8),这是2015版完全没有的内容。评价准则包括三个维度:

1️⃣ 风险发生可能性 — 五级划分:很低→低→中等→高→很高,附录C.1给出等级说明

2️⃣ 风险影响程度 — 五级划分:很低→低→中等→高→很高,附录C.2给出等级说明

3️⃣ 风险级别定性确定矩阵 — 综合可能性和影响程度,附录C.3给出风险矩阵

实操意义: 以前做风险评估,评价准则往往是”各自为政”。新版给出了统一的5级划分标准和风险矩阵,让不同项目的风险评价有了可比性。这和等级保护测评中风险等级判定思路高度一致。

📗 [5.2阶段] 业务重要性+承载性属性

这是本次修订最亮眼的变化。新版在资产识别中新增了两个关键属性,和20984保持一致:

 1️⃣ 业务重要性(Bi) — 衡量业务对组织的核心程度。若被评估业务与更高重要性的业务有紧密关联,则重要性赋值需向上调整——这一点非常实用!

 2️⃣ 业务承载性(Bc) — 衡量系统对业务的承载程度和关联程度,包括承载类别和关联程度两个维度

V = round(√((Bc × max(C,I,A))² + Bi²))

系统资产赋值公式(公式1)

Bc=业务承载性 C=保密性 I=完整性

A=可用性 Bi=业务重要性

⚠️ 这公式改变了资产赋值的逻辑——不再单纯看CIA三元组,而是将”这个系统对业务有多重要”和”这个业务对组织有多重要”两个维度纳入计算。资产价值不再是技术属性的单维度量,而是业务驱动的双维度量

📗 [5.2阶段] 威胁能力+频率+时机

新版对威胁识别做了全面升级,从原来笼统的威胁描述变成了三维量化模型:

 1️⃣ 威胁能力(TC) — 基于威胁路径分析,识别攻击者的知识、技能、资源投入。新增了威胁手段分类(主动攻击、被动攻击、邻近攻击、分发攻击、误操作)和典型恶意威胁主体表

2️⃣  威胁频率(TF) — 统计威胁的数量、时间分布、类型和严重程度。提供了4种识别方法(安全事件报告、日志、监测、威胁情报)

 3️⃣  威胁时机(TO) 全新概念 — 划分为普通时期、特殊时期和自然规律三类。特殊时期包括政治冲突、重大活动、新技术应用等。引入调整因子[0,1]来修正威胁值

T = TC × TF × (1 + TO)

威胁赋值公式(公式3)

TO为时机调整因子

普通时期取0,特殊时期取更高值

实操意义: 做等保测评时,威胁分析经常是”拍脑袋”。现在有了三维量化模型和计算公式,威胁赋值不再是”感觉差不多”,而是能力×频率×时机修正的三维计算。尤其在重大活动保障期间,时机因子能让威胁值显著上调,更贴近真实场景。

📗 [5.2阶段] 安全措施确认

新版新增了安全措施确定环节(5.2.4),将安全措施明确划分为两类:

 1️⃣ 预防性安全措施 — 事前阻断型:威胁情报、入侵检测、防火墙、分区分域、密码技术、蜜罐等。降低威胁利用脆弱性的可能性

2️⃣  应急处置措施 — 事中阻断+事后恢复型:灾备中心、快速隔离、数据备份、应急预案等。降低事件发生后的负面影响

已有安全措施的有效性确认方法包括:文档核查、人员访谈、配置核查、安全扫描、渗透

风险计算方法:查表法+相乘法

查表法-定性

通过一系列矩阵表进行风险计算,适合不需要精确数值的场景:

  • 威胁赋值 × 脆弱性被利用难易程度 → 安全事件发生可能性(表9→表10)
  • 脆弱性影响程度 × 系统资产重要性 → 安全事件损失(表11→表12)
  • 安全事件可能性 × 安全事件损失 → 系统资产风险值(表13→表14)
  • 各系统资产最高风险值 → 业务风险值

相乘法-定量

公式4:安全事件可能性 = 威胁赋值 × 脆弱性被利用难易程度

公式5:安全事件损失 = 资产价值 × 脆弱性影响程度

公式6:系统资产风险值 = 可能性 × 损失

公式7-8:业务风险值 = 各系统风险 × 业务影响系数(加权求和)

其中业务影响系数 = 系统资产业务承载性 / 所有系统承载性总和

业务风险值的计算是本次修订最大的创新。以前风险评估只算到”系统资产风险”就结束了,新版新增了从系统资产风险推算业务风险的完整链路——用业务承载性作为权重,把多个系统的风险聚合到业务层面。这与等保2.0″以业务为核心”的思路高度契合!

各阶段文档输出要求

新版为每个阶段都明确了必须交付的文档清单,这是2015版缺失的关键内容:

| | | | — | — | | 阶段 | 必须交付文档 | | 准备 | 业务调研表、系统调研表、系统组件和单元资产调研表、安全相关人员调研表、安全管理文档调研表、风险评估方案 | | 识别 | 资产赋值表(F.1)、威胁赋值表(F.2)、脆弱性赋值表(F.3)、安全措施表(G、H) | | 分析 | 安全事件可能性赋值表(F.4)、安全事件损失赋值表(F.5)、系统风险计算表(F.6)、业务风险计算表(F.7) | | 评价 | 风险清单、风险评估报告 |

实操意义:以前做风险评估项目,文档交付物各机构差异很大。新版统一了输出要求,让项目验收有了明确的交付标准。附录F给出了一整套赋值表格模板,可以直接套用。

什么时候该做风险评估

新版对风险评估的启动条件做了清晰分类,这是做等保项目时经常被问到的问题,新标准共分为3类:

a)常规/周期性启动按制度规定的固定周期(年度/半年度/季度)

  • 重大项目、重要系统、关键业务上线前

b)外部环境触发国家法律法规、监管政策、行业标准发生重大变化

  • 市场环境、经济形势、地缘政治、供应链出现显著波动
  • 发生行业共性网络安全事件、典型事故、舆情风险

c)内部变化触发组织架构、业务流程、关键岗位人员、管理制度重大调整

  • 信息系统、研发流程、技术路线重大升级或替换
  • 业务范围、合作方、外包服务、数据处理范围重大变更
  • 发生数据泄露、网络攻击等重大网络安全事件
  • 监督检查、合规检查提出整改要求

对等保测评从业人员的建议

1、提前熟悉新的赋值体系

业务重要性+承载性的引入,改变了资产赋值的底层逻辑。等保测评中的资产识别部分将需要同步更新方法论。

2、关注威胁赋值的三维模型

威胁分析不再是”写几个威胁源就完事”,需要量化能力、频率和时机。尤其”时机因子”在重大活动保障中非常有价值。

3、用好新增的附录模板

附录D(方案模板)、F(赋值表格)、I(报告模板)可以直接用于项目交付,减少重复劳动。附录J(网上银行案例)是绝佳的参考范例。

4、等保测评与风险评估打通

新版风险评估报告模板(附录I)的输出内容与等保测评报告高度互补。建议在项目中一评两用——风险评估报告可作为等保测评的重要参考材料。


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:等级保护那些事 《GB/T 31509征求意见稿来了!信息安全风险评估实施指南八大核心变化》

评论:0   参与:  0