0、概述   

        信息安全管理的本质是风险管理，而风险管理的本质是将风险调整至可接受的水平。如何将风险控制在组织可接受范围之内，不影响业务的健康发展，甚至推动业务发展，也是当前安全运营工作的核心目的。

        风险控制作为安全运营的主要工作，如何开展？当前已经有一些标准可参考，如GB/T 31509-2015 《信息安全技术 信息安全风险评估实施指南》、GB/T 31722-2015 《信息技术  安全技术 信息安全风险管理》、GB/T 20984-2007 《信息安全技术 信息安全风险评估规范》（以下简称2007版），而本文将主要对2022年11月1日实施的GB/T 20984-2022《信息安全技术 信息安全风险评估方法》进行梳理（以下简称2022版），2022版在2007版的基础上做的调整和修订，从标准内容的变化可以看出，经过十多年的发展，安全与业务相关依靠关系已经更加深入和牢固，这在2022版标准内容的风险分析的核心环节-风险识别中，增加 业务识别；在风险管理的落脚点-风险计算中，增加了业务风险值计算，从这两方面可以体现出来。

1、风险要素关系

        信息安全风险指特定威胁利用单个或一组资产脆弱性的可能性以及由此可能给组织带来的损害。简而言之，威胁利用脆弱性的可能性，这是一个值，即我们所说的概率，比如此风险发生的概率为80%。 进而给组织带来一定损害，如业务瘫痪。(此处有别于CISSP官方学习指南（第八版）对风险（RISK）的定义：风险是威胁利用脆弱性对资产造成损害的概率。这里很明确，风险就是个概率。)

2022版在风险要素和要素之间的关系方面，相比于《GB/T 20984-2007 信息安全技术 信息安全风险评估规范》作为简化，对比关系如下图所示：

开展风险评估时，基本要素之间的关系如下：

1. 风险要素的核心是资产，而资产存在脆弱性；
2. 安全措施的实施通过降低资产脆弱性被利用难易程度，抵御外部威胁，以实现对资产的保护；
3. 威胁通过利用资产存在的脆弱性导致风险；
4. 风险转化为安全事件后，会对资产的运行状态产生影响。

相对于CISSP学习指南，CISSP在风险要素中还有一个暴露要素：

 也就是说，在脆弱性到导致风险的过程中，CISSP特意强调了暴露，暴露指脆弱性会被威胁主体或威胁事件加以利用的可能性是存在的。所以对于安全运营工作来说，一般存在一个基本前提，及暴露面排查及收敛。

2、风险分析原理

风险分析的主要目的是得出风险值，供组织进行风险处置决策，其原理如下：

1. 根据威胁的来源、种类、动机等，并结合威胁相关安全事件、日志等历史数据统计，确定威胁的能力和频率；
2. 根据脆弱性访问路径、触发要求等，以及已实施的安全措施及其有效性确定脆弱性被利用难易程度；
3. 确定脆弱性被威胁利用导致安全事件发生后对资产造成的影响程度；
4. 根据威胁的能力和频率，结合脆弱性被利用的难易程度，确定安全事件发生的可能性；
5. 根据资产在发展规划中所处的地位和资产的属性，确定资产价值；
6. 根据影响程度和资产价值，确定安全事件发生后对评估对象造成的损害；
7. 根据安全事件发生的可能性以及安全事件造成的损失，确定评估对象的风险值；
8. 依据风险评价准则，确定风险等级，用于风险决策；

3、风险评估流程

        2022版本实施流程分为评估准备、风险识别、风险分析和风险评价四个阶段，而且将资产识别作为风险评估环节的核心环节，对比2007版，将资产识别由原来和威胁识别、脆弱性识别的并行关系，变为与后二者之间的先后关系，此调整也适配了当前组织在开展安全运营工作的实际情况，及先对保护对象（资产）进行清点。

在2022的版本中，在风险识别阶段增加了业务识别，且资产识别按照业务资产、系统资产、系统组件和单元资产三层结构进行分类。

且在后面的风险计算上，2022版本的最终落脚点是计算业务风险值，而不是2007版本以计算风险值作为结尾，图下图所示：

4、应用理解

        基于对风险管理的理解，再去看业界厂商提供的安全运营的方案，基本绕不开资产、脆弱性、威胁、风险和事件这几个核心要素，开展组织+制度+技术+人员+流程等融合性工作。只不过在针对事件这个事情上，如何提高事件的自动化闭环处置效率，派生出了其他的产品，如SIEM、SOAR等；如何围绕事件的准确率，派生出了如XDR等检测平台。

看两个案例（公开材料，如不合适请联系作者删除）：

深信服安全运营方案：

https://www.sangfor.com.cn/security/solution/Security-Operation

奇安信安全运营方案：

https://www.qianxin.com/trade/detail/tid/7

GB/T 20984-2022《信息安全技术 信息安全风险评估方法》附图：

名词解释：

资产：资产可以是环境中需要保护的任何事物，包括业务流程或任务中用到的所有资源；（CISSP官方学习指南（第八版）

威胁：任何可能发生的、对组织或特定资产造成不良或非预期结果的潜在事件都是威胁；（CISSP官方学习指南（第八版）

脆弱性：脆弱性是资产中的弱点，是防护措施或控制措施的弱点，或缺乏防护措施/控制措施。（CISSP官方学习指南（第八版）

暴露：指脆弱性会被威胁主体或威胁事件加以利用的可能性是存在的。

安全措施：保护资产、减少脆弱性、降低安全事件的影响，以及打击信息犯罪而实施的各种实践、规程和机制；（2022版）

风险：风险是威胁利用脆弱性对资产造成损害的概率。（CISSP官方学习指南（第八版）

安全需求：为保证组织业务规划的正常运作而在安全措施方面提出的要求。（2022版）

安全措施：保护资产、抵御威胁、减少脆弱性、降低安全事件的影响，以及打击信息犯罪而实施的各种实践、规程和机制。（2022版）

参考材料：

1、GB/T 20984-2022《信息安全技术 信息安全风险评估方法》

2、GB/T 20984-2007 《信息安全技术 信息安全风险评估规范》

3、CISSP官方学习指南（第八版）

4、一文看懂：2022版《信息安全风险评估方法》发生了哪些新变化？

5、深信服安全运营中心解决方案

6、态势感知与安全运营解决方案