ICS35.240.01I6440團 體 標 準T/WHCSA007-2024網絡安全風險量化評估規范Specification for Quantitative Assessment oCybersecurity Risks布 施武漢市網絡安全協會發布PAGE\*ROMANPAGE\*ROMANIIT/WHCSA007—2024目次前 言 III引 言 IV范圍 1規范性引用文件 1術語定義 1風險評估 1網絡安全風險量化評估 1組織安全量化指數 1內部安全管理量化指數 1外部安全有效性量化指數 1組織量化評級 2組織暴露面 2下屬機構 2外部數據泄露 2第三方供應鏈 2網絡安全保險 2風險量化評估概述 2評估原則 2評估思路 3評估度量 3風險量化等級劃分 3評估內容 3評估周期 4評估流程 4流程概述 4評估準備 4評估方案編制 5評估數據采集 6評估數據分析量化 6評估報告編制 7評估結果應用 7組織安全量化管理 7政府安全合規管理賦能 7數字供應鏈安全管理 7網絡安全保險 8后續工作 8風險處置和復評 8持續監控和評估結果更新 8評估工作改進和優化 8其它 8工具和技術推薦 8培訓和認證 9評估機構與人員認定和管理 9附錄A 11附錄B 12錄C 13錄D 15PAGE\*ROMANPAGE\*ROMANIII前 言本文件按照《標準化工作導則第1本文件由牽頭單位武漢華康科技有限公司聯合上海竟安網絡科技有限公司提出并歸口。引 言PAGEPAGE1網絡安全風險量化評估規范范圍本文件給出了網絡安全風險量化評估術語定義、實施原則、評估思路、評估內容、周期、步驟和結果應用等規范方法的指引。規范性引用文件（包括所有的修改單適用于本文件。武漢市網絡安全評價參考指標體系信息安全風險處理實施指南GB/T33132-2016信息安全技術GB/T20984-2022信息安全技術信息安全風險評估方法ISO/IEC27001系列NISTCybersecurityFrameworkGB/T25069-2022信息安全技術術語GB/T36637-2018信息安全技術ICT供應鏈安全風險管理指南GB/T32921-2016信息安全技術信息安全技術信息技術產品供應方行為安全準則COBIT框架等。術語定義《武漢市網絡安全評價參考指標體系》中界定的術語和定義適用于本文件。為了便于使用，以下重復列出了某些術語和定義，并對文件中出現的其它術語進行定義。風險評估風險評估是一個系統性過程，旨在識別、分析和評估組織面臨的潛在安全風險。網絡安全風險量化評估（（如計算機系統、組織安全量化指數組織安全量化指數是一個綜合指標，用于衡量組織整體安全態勢的強弱。該指數通常基于各種安全因素和事件（如安全漏洞、攻擊次數、合規情況等），通過量化的方法來評估組織的安全防護能力和有效性。內部安全管理量化指數外部安全有效性量化指數組織量化評級組織暴露面組織暴露面指的是組織在網絡安全環境中暴露給潛在威脅和攻擊的所有入口點和暴露的區域。這包括硬件、軟件、網絡接口、員工行為、暴露數據、下屬機構、第三方供應鏈等所有可能被攻擊者利用的點。下屬機構外部數據泄露第三方供應鏈第三方供應鏈是指與組織合作的外部供應商、服務提供商和合作伙伴。這些第三方可能提供產品、服務或系統，其安全性和可靠性直接影響到組織的安全防護。網絡安全保險（時風險量化評估概述評估原則一致性原則實用性原則動態適應性原則評估思路評估度量在組織網絡安全風險量化評估時，按照總分100分的原則，將評分結果分為四個等級：A、B、C、D。每個等級對應一個具體的分數區間，通過結合以下兩種方法來確定最終的綜合量化安全分數：a）技術側外部安全自動化評估：采用標準的自動化工具對系統進行評估，智能得出量化的安全分數。b）管理側內部數據分析評估：根據管理層指定的特定評估指標來收集和分析數據，得出量化的安全分數。具體分數區間如下：a）A檔：90＜分數≤100b）B檔：75＜分數≤90分c）C檔：60＜分數≤75分d）D檔：0＜分數≤60分風險量化等級劃分通過明確定義的評估等級，標識組織級別安全風險的嚴重性。等級劃分應基于風險的可能性和影響，確保評估結果的權威性和可比性。等級A-低風險：風險的可能性和影響較小，可能對組織的安全性產生輕微的影響。應對該等級的風險采取基本的安全措施。等級B-中風險：風險的可能性和影響屬于一般范圍，可能對組織的安全性產生一定的影響。需要采取適度的風險緩解措施。等級C-高風險：風險較高，可能性和影響較大，可能對組織的安全性產生嚴重影響。需要采取緊急的風險緩解措施。等級D-臨界風險：風險極高，可能性和影響非常大，可能對組織的安全性產生災難性的影響。需要立即采取緊急的、全面的風險緩解措施，并進行緊急響應。等級的定義和標準可根據組織的具體情況和業務需求進行調整及定制。評估時，根據風險的特征和嚴重程度，將其劃分到對應的等級，并確保這些等級在整個組織中得到了一致的理解和接受。評估內容評估內容引用自武漢市網絡安全評價參考指標體系。圖1組織安全量化指數評估周期a）重大變化時評估：如業務擴展、系統升級、新增關鍵應用等。b）事件驅動評估：發生重大安全事件或漏洞曝光后立即進行。c）法規變化時評估：當法律法規或行業合規要求發生變化時，及時調整評估策略。7評估流程流程概述網絡安全風險量化評估流程，主要包括評估準備、評估方案編制、評估數據采集、評估數據分析、評估報告編制五個階段。評估準備明確評估目標確定評估范圍組建評估隊伍評估方案編制確定評估指標和權重表1給出了指標權重的樣例。表1 單位機構網絡安全量化指數指標權重一級指標安全管理安全技術安全運營組織暴露面安全第三方供應鏈安全權重w1w2w3w4w5二級指標安全戰略規劃安全制度規范網絡安全等級保護關鍵信息基礎設施保護安全運維安全監測外部資產管理網絡安全供應鏈安全管理第三方組織基礎安全能力二級指標權重?1,1?1,2?2,1,?2,2?3,1?3,2?4,1?4,2?5,1?5,2制定評估計劃建立可行性的評估計劃，明確具體時間進度安排和人員安排。確保評估時間安排與業務運營和關鍵項目的時間相協調，以最大程度減少對業務運營的影響。建立風險應對措施依據國家及地方相關法律法規和國家標準，針對網絡安全風險量化評估過程中可能面臨的挑戰與潛在風險，識別數據安全與網絡安全等關鍵風險點，制定相應的風險管理措施，明確風險預防與控制策略。形成評估工作方案評估工作方案應基于評估準備情況編制，內容包括但不限于評估背景、評估目標、評估范圍、評估重點、評估指標、數據采集方案、評估工作隊伍、評估計劃、風險應對措施等。評估數據采集內部安全管理量化指數（如外部安全有效性量化指數評估數據分析量化內部數據分析與量化評估管理側內部安全量化指數計算方式可參考附錄A。外部數據分析與量化評估組織應依據自身需求，精心選取適宜的風險量化手段，包括但不限于定性評估、定量分析以及蒙特卡洛模擬等方法，并從多維度進行深入分析與實施。從以下幾個方面展開：機器學習和統計模型：采用預測分析技術，結合機器學習算法深度剖析歷史數據，精準識別并預測潛在的安全威脅與趨勢。風險評分算法：針對多樣化數據與指標，實施加權評分機制，以精準衡量其對整體安全性的影響（如嚴重漏洞技術側外部安全量化指數計算方式可參考附錄B。評估報告編制評估報告分為管理側內部安全量化評級報告和外部安全風險量化評級報告。評估報告可參考附錄C報告格式。評估結果應用組織安全量化管理在組織的安全量化管理體系中，網絡安全風險量化評估構成了系統化識別與評估潛在安全威脅的基政府安全合規管理賦能此外，政府通過實施標準化的風險量化評估規范，強化安全合規管理，為監管機構配備了高效工具。數字供應鏈安全管理網絡安全保險后續工作風險處置和復評持續監控和評估結果更新評估工作改進和優化網絡安全風險量化評估的精確與效率提升是評估工作改進與優化的核心目標。組織應實施定期審查，其它工具和技術推薦安全評估工具數據采集和分析技術通過綜合風險量化評估與管理系統，結合數據采集和分析技術，可以有效整合和解讀數據，為組織提供更有效的安全量化評估結果，為決策提供有力支持。數據采集技術包括在線問卷調查平臺，自動化分發工具，數據導入與整合等。分析技術則涵蓋統計分析、數據可視化、數據挖掘、文本分析和趨勢分析等，幫助識別數據中的模式和趨勢。培訓和認證培訓計劃風險管理基礎：掌握風險管理的基本理論和流程，包括風險識別、評估、響應和監控。風險量化評估方法：學習定性與定量風險評估方法，風險評分模型及評估概率和影響的技術。c）數據收集和分析：了解數據收集來源、分析技巧以及如何從數據中提取有價值的信息。d）報告和溝通：掌握撰寫風險評估報告的技巧，以及如何向非技術人員有效溝通評估結果。e）實踐演練：通過案例分析和模擬演練，增強實際應用中的技能和問題解決能力。f）工具和技術：介紹常用風險評估工具和軟件，并學習其配置和使用技巧。認證計劃CISP等國家認證的網絡安全資評估機構與人員認定和管理評估機構認定（以下簡稱量化評估機構CISP等認證的專業團隊。人員認定和管理為確保評估流程的有效執行與結果的可信度，對量化評估機構及其人員的嚴格認定與管理至關重要。通過設定高標準的資質要求、豐富的實踐經驗以及持續的專業培訓，確保評估團隊具備卓越的專業能力，為組織提供堅實的安全評估保障。團隊構建：多元化專業背景評估團隊匯聚了網絡安全專家、資深系統管理員及合規性顧問等多領域人才，確保評估工作的全面覆蓋與深入洞察。專業培訓與資質認證：強化專業能力CISP等專業認證，以不斷提升專業素養。保密協議：嚴守信息安全所有團隊成員均簽署保密協議，嚴格遵守信息安全規定，確保評估過程中發現的敏感信息得到有效保護，防止未經授權的泄露。高效溝通與精準報告：助力決策制定團隊成員具備卓越的溝通與報告能力，能夠清晰、準確地傳達評估結果與建議，為組織高層管理者及技術團隊提供有力的決策支持。附錄A（規范性）內部安全量化指數計算方法三級指標測評得分確定：第k個三級指標U,,kS,,k,0.,0.7其中符合，0表示不符合，0.4和0.7表示部分符合。部分符合分為兩種場景，當U,,k的分值0＜評價標準＜0.50.；當U,,k的分值0.10.。二級指標測評得分確定：第,,五入，取小數點后2位），即：\≤??,??,,?Si,j=一級指標測評得分確定：

??,?每個二級指標會根據相關政策賦予權重wi,j，第i個一級指標Li的量化評估結果Si為該一級指標內ni個二級指標測評結果Si,j的加權平均值（四舍五入，取小數點后2位），即：S\1≤j≤niWi,jSi\1≤j≤niWi,j整體管理側內部安全量化指數得分：S為所有S（四舍五入，取小數點后2位），再加上專項安全的加減分總數X，即：S=\1≤i≤nWi?Si×60+X\1≤j≤nWi附錄B（規范性）外部安全量化指數計算方法外部安全量化評級通過使用數據驅動、由外而內的方法對組織的安全有效性進行評分。通過檢查外部可觀察安全配置情況,并根據以下指標進行分別評分：D={IP信譽度情況,面向互聯網公共服務暴露情況,面向互聯網的高危外聯情況，域名與DNS安全情況,網絡服務配置安全性情況,應用服務配置安全性情況,補丁周期情況,漏洞響應與修復效率情況,漏洞管理報告與監控落實情況,}每個指標的得分使用專有算法f每日計算得出,評分公式如下：Sd（類別評分）=?(asset，issue，duration)其中評分算法考慮因素以下：asset（數字資產的數量和類型）：通過互聯網空間測繪等技術觀察到的組織的數字資產情況。issue（問題級別和數量）：數字資產外部可觀察到的安全配置的問題情況。duration（事件持續時間）：計算首次觀察到數字資產與最后一次看到數字資產之間的時間。綜合的安全評分是針對該組織標準化的所有指標評分（具有不同權重W）的匯總結果?？偡郑?Σi€DSdi*Wi一、管理側內部安全量化評級報告1.評估概況評估背景評估對象評估原則評估過程2.評估結果總體情況3.安全管理指數總體分析4.安全技術指數總體分析5.安全運營指數總體分析6.安全專項指數總體分析7.工作建議安全評級的歷史趨勢最新安全挑戰和變化

附錄C（規范性）二、外部安全風險量化評級報告1.量化評級介紹目的和背景評級方法論概述2.等級劃分安全風險等級定義3.評估維度安全總覽組織信息資產信息量化評級分數與概括各維度得分和權重分配安全風險總體評級6.行業對標行業標準與實踐比較7.量化趨勢安全評級的歷史趨勢最新安全挑戰和變化89.風險清單漏洞詳細列表與風險級別10.問題清單發現的問題與漏洞附錄：評級方法細節與工具使用說明術語表和縮寫定義此外，報告的格式應包括清晰的標題和子標題、圖表和表格的使用以支持數據可視化，以及每個章節的詳細內容展開，以便清楚地呈現評級結果和建議措施。附錄D（規范性）數字安全量化評級服務商認定表數字安全量化評級服務商授權申請表認證機