[GB/T30271—2013,定义3.1.10] 3.31 可靠性 reliability 与预期行为和结果一致的特性。 [GB/T29246—2017,定义2.62] 3.32 残余风险residual risk 风险处置后余下的风险。 注1：残余风险可能包含未识别的风险。 注2：残余风险也可以被称为“保留风险”。 [GB/T29246—2017,定义2.64] 3.33 风险risk 对目标的不确定性影响。 注1：影响是指与期望的偏离（正向的或反向的）。 注2：不确定性是对事态及其结果或可能性的相关信息、理解或知识缺乏的状态（即使是部分的）。 注3：风险常被表征为潜在的事态和后果，或者它们的组合。 注4：风险常被表示为事态的后果（包括情形的改变）和其发生可能性的组合。 注5：在信息安全管理体系的语境下，信息安全风险可被表示为对信息安全目标的不确定性影响。 注6：信息安全风险与威胁利用信息资产或信息资产组的脆弱性对组织造成危害的潜力相关。 [GB/T29246—2017,定义2.68] 3.34 风险分析 risk analysis 理解风险本质和确定风险等级的过程。 注1：风险分析提供风险评价和风险处置决策的基础。 注2：风险分析包括风险估算。 [GB/T29246—2017,定义2.70] 3.35 风险管理 riskmanagement 指导和控制组织相关风险的协调活动。 [GB/T29246—2017,定义2.76] 3.36 安全策略 securitypolicy 用于治理组织及其系统内如何管理、保护和分发资产（包括敏感信息）的规则、指导和 那些影响系统及相关要素的。 3.37 安全相关要求 securityrelated requirement 直接作用于系统安全运行或者强制执行规定安全策略的要求。 3.38 系统 system 具有物理存在和既定目的的、完全由集成的、交互的组件组成的离散的可区分实体，争 独符合所要求的总体目的。 注1.在实践中系统是“在案观者眼中的”通常用联合名词来潘清其含义（例如产品系统飞机系

式是使用上下文依赖的同义词（例如，产品、飞机)进行简单取代，尽管这可能使系统原理观点变得模粘 注2：系统在其生存周期中，为了满足自身的需求，可能需要其他系统。例如，一个运行系统可能需要一个 于概念化、开发、生产、运行、支持或处置 3.39 威胁threat 不论是内部还是外部引起的，可能对信息、程序或系统造成损害或者波及其他损害的，敌对看 力、意图和攻击方式，或者任何环境或事件。 3.40 威胁方 threat agent 故意或意外的人为威胁的原发方和/或发起方。 [GB/T25069—2010,定义2.3.95] 3.41 确认 validation 通过提供客观证据，证实满足特定预期使用或应用要求的行为。 [GB/T29246—2017,定义2.87] 3.42 验证 verification 通过提供客观证据，证实满足规定要求的行为。 注：也可称为符合性测试。 [GB/T29246—2017,定义2.88] 3.43 脆弱性 vulnerability 可能被一个或多个威胁利用的资产或控制的弱点。 [GB/T29246—2017,定义2.89] 3.44 工作产品 workproduct 在执行任何过程中产生出的所有文档、报告、文件、数据等。 [GB/T30271—2013,定义3.1.13] 注：一个工作产品可能被一个过程使用、生产或者改变

4.1安全工程的开发背景

电力标准GB/T202612020

4.2安全工程的重要性

安全工程活动由各种类型的组织实施，例如： 开发者； 产品销售商； · 集成商； · 采购方（采购组织或者最终用户）； 安全评价组织（系统认证机构、产品评定机构，或者运行认可机构）： 系统管理员； 可信的第三方（认证机构）； 咨询/服务机构

4.4安全工程生存周期

在下列所有的生存周期阶段都要推进安全工程活动：

4.5安全工程和其他学

安全工程活动和许多其他学科相关联，包括： 系统工程； · 软件工程； 人机工程； ·通信工程； 硬件工程； 企业管理。 注1：关于系统工程的更多信息，见ISO/1EC15288，该标准从系统的角度观察安全。 注2：关于软件工程的更多信息，见GB/T8566一2007，该标准从软件的角度观察安全。 安全工程活动应协调许多外部实体进行，因为残留运行影响的保障和可接受性是与开发者、集成 、采购方、用户、独立评价师以及其他群体共同确立的。正是由于众多组织之间的这些接口和必不可 的相互作用，使得安全工程特别复杂并且有别于其他工程学科。

尽管在当前的安全和业务环境中，安全工程和信息技术安全是发展强劲的学科，但是也不应忽视其 传统安全学科，例如物理安全和人员安全。如果这些传统安全学科和其他专业学科分支在它们的工 中可以取得很好的效果，安全工程就应利用它们。下面的清单列出了部分专业安全学科分支的例子， 时给出简短描述，包括： 运行安全一 目标是运行环境的安全性以及安全运行态势的维护； 信息安全 关于信息以及信息被操纵和处理期间的安全维护； 网络安全 涉及网络硬件、软件和协议以及网络中传输的信息的保护； 物理安全 核心是保护建筑物和物理场所的安全； 人员安全 关系到人员、人员可信性以及他们的安全意识； 安全管理 关系到安全性的行政管理和行政管理系统的安全性； 发射安全 处理由所有那些能够向安全区域以外传输信息的机器产生的不希望的信号

5.1安全工程过程概述

通过把所有的基本实践和所有的通用实践结合在一起，并对类似的问题进行调查和答复，将得到 幅令人满意的、关于该组织安全工程能力的实况图

GB/T202612020

通用实践应用于所有的过程，涉及过程的管理、测量和制度化，用于评估判定组织执行某个过程的 能力。 通用实践按照“公共特征”进行逻辑归类，每个公共特征有一个或多个通用实践。“公共特征”描述 个组织特有的工作过程（在这种情况下是指安全工程域)的执行能力，接照能力成熟度递增划分了五 个“能力等级”。最低的公共特征是“1.1执行基本实践”。这个公共特征仅仅检查一个组织是否执行了 某个过程域的所有基本实践。不同于域维的基本实践，能力维的通用实践是按成熟度进行等级划分的， 高过程能力等级的通用实践位于能力维的顶端 公共特征包含的通用实践有助于从整体上判断项目管理的优劣以及每个过程域的改进情况。通用 实践（见附录C)的分组是为了强调一个组织特有的安全工程实施手段的重大变化。表1中列出通用实 践中的一些原则。

5.2.6与ISO/IEC15288的关系

本标准和ISO/IEC15288的基本概念和使用的方法都非常相似。但由于本标准与ISO/1EC152 干发环境不一样，所以两个标准的术语和详细内容之间存在区别。此外，本标准的目标是另一个不 学科领域一一系统安全工程，这也不可避免地导致标准间的差别。这些差别都不大，只是在应用时 口以注意。 二者间关系的示例如下： ·本标准的过程域直接对应到ISO/IEC15288的过程； ·本标准的基本实践直接对应到ISO/IEC15288的活动； ·本标准的工作产品直接对应到ISO/IEC15288的成果； ·本标准的过程描述与ISO/IEC15288的过程描述相同。 下面的表3给出本标准的过程域和ISO/IEC15288的过程之间的主要关系对照。 注1：如果一行包含多个“X”，说明ISO/IEC15288的这个特定过程被本标准中的多个过程域覆盖。 注2：如果一列包含多个“X”，说明本标准的这个过程域被ISO/IEC15288的多个过程覆盖，

GB/T202612020

该规程要求确保那些承担责任的人可被核查和对其授予行动权。无论采用什么安全控制，都要确 保明确、一致地使用。此外，无论采用哪一种通信架构，都要确保传达给整个组织的成员，而不仅仅是该 架构中的成员

6.2.2.2 工作产品示例

组织安全架构图一确定与安全相关的组织成员和他们的角色； 描述安全角色的文档一一描述每个与安全相关的组织的角色及其职责； 描述安全职责的文档一一详细描述每个安全职责，包括期望的输出以及如何评审和使用它； 详细描述安全可核查性的文档——描述谁负责处理安全相关问题，确保有人负责所有的风险： 详细描述安全授权的文档一 确定允许组织的每个成员做什么

6.2.3BP.01.02管理安全配置

管理系统安全控制的配置

管理系统安全控制的配置

所有设备（或设施）的安全配置都要进行管理。这个基本实践认为系统安全在很大程度上依赖于 有相互联系的部件（硬件、软件和规程），并且常规的配置管理实践可能达不到安全系统所要求的相 赖性。

6.2.3.2工作产品示例

所有软件升级的记录一一 跟踪所有软件和系统升级软件的许可证、序列号和收据，包括日期、 负责人和变更说明； ? 所有分发问题的记录一一 包括软件分发期间遇到的任何问题以及如何解决的描述 系统安全配置一一描述系统硬件、软件和通信的当前状态的数据库，包括它们的位置、逐个分 配的情况以及相关的信息； 系统安全配置变更一一记录系统安全配置变化的数据库，包括变更者姓名、变更内容描述、变 更原因以及变更时间； ·可信软件分发的定期总结一一描述近期可信软件分发活动、难点以及分发内容； 要求的安全变更一一跟踪因安全原因或安全影响在系统要求的任何变更，以便有助于确保这 些变更及其影响是有意义的； 设计文档的安全变更一一跟踪因安全原因或安全影响在系统设计的任何变更，以便有助于确 保这些变更及其影响是期望的； · 控制实现一一描述系统内安全控制的实现，包括详细的配置内容； 一 安全评审 描述与预期的控制实现相关的系统安全控制的当前状态； 控制处置 描述移除或禁止安全控制的规程，包括过渡计划

如果需要，这个基本实践中可以包括建立安全控制配置，而安全控制配置的实际工作很可能在实 制的时候才会执行。维护任何系统中安全控制配置的通用性是一项复杂任务，对于大的分布系统

其如此。配置本身的某些方面对于安全的维护来说是至关重要的。为实现有效的安全需要记录与组成 系统的安全控制机制相关的而其他学科通常不用的特定信息。同样地，对现行系统提议的变更应加以 评估，以确定它们对整个系统安全态势的影响。 为了确保某特定软件模块或应用软件模块的所有副本与对应的版本相同，组织应遵守相应的规程， 特别是在分布式环境下。此外，尤其要确保在网络中分发软件时不发生错误。上述要求适用于所有的 软件。 这个基本实践应确保：软件仅仅执行那些预期的功能、维护密封的参考版本、确保所有软件副本相 同、确认升级软件，以及掌握和维护安全控制配置，

4BP.01.03管理安全意识、培训和教育计划

管理面向所有用户的安全意识、培训和教育计划

管理面向所有用户的安全意识、培训和教育计划

全体员工的安全意识、培训和教育要求按照与其他意识、培训和教育的管理方法相同的方法管理。

6.2.4.2工作产品示例

本标准中，“用户”不仅包括直接用该系统工作的个人，而且还包括所有直接或者间接从该系统接收 信息的个人，以及所有管理部门。 使用户知道把安全放置在合适位置的原因以及采用某特定安全机制或者控制措施的原因是至关重 要的。此外，使用户知道如何正确地使用这个机制或者控制措施也很重要。因此，当引进新的机制和控 制措施的时候，用户需要从头开始学习、定期更新培训或参加修订会议。所有用户要求具有安全意识， 部分用户要接受操作执行安全机制的培训，少数用户需要更深层次的安全知识

6.2.5BP.01.04—管理安全服务和控制机制

理安全服务和控制机制的定期维护和管理

6.2.5.2工作产品示例

维护和管理日志 一关于对系统安全机制执行的维护、完整性检查和运行检查的记录 定期维护和管理评审一一 包含近期系统安全管理和维护工作的分析； 管理和维护故障一一跟踪系统安全管理和维护问题，以便识别哪些地方需要加强： 22

GB/T202612020

管理和维护异常情况一一相对于正常管理和维护规程的异常情况的描述，包括异常情况的原 因以及异常情况的持续时间； 敏感信息列表一一系统中各种信息以及如何保护这些信息的描述； 敏感媒介列表一一用来存储系统中信息的各种媒介以及如何保护这些媒介的描述； 脱敏、降级和处置一一 一确保在降低某信息的敏感等级时或在对媒介实施脱敏或处置时不产生 额外风险的规程

这类服务的例子包括：标识和鉴别、访问仲裁/控制，以及密钥管理。 每个安全服务应包含建立合适的安全参数、实现参数、监督和分析性能以及调整参数。 这类要求特别适用于某些安全服务，包括用户和鉴别数据维护用的“标识和鉴别服务”、许可维护用 的“访问控制”服务等。 信息资产，作为资产的一个子集，被定义为隶属于某个组织的软件以及数据。部分信息资产可能要 求剔除其中的敏感信息，以便剩下的信息可用于较不敏感的目的。脱敏确保只向需要知道信息的个体 发布信息，可以通过降级信息或者有选择地剔除具体的敏感信息来实现 在电子媒介上，即使用新信息进行覆盖，仍然能够保留残留的信息痕迹。某些媒介可能需要作净化 后才可以用于较不敏感的目的。一且磁媒介的使用寿命结束，应采用一种与残留信息的敏感度相对应 的方式来处置，甚至需要销毁该媒介。有些团体不充许对敏感度较低的信息重复使用原来的媒介。脱 敏、降级以及处置要求的具体细节取决于具体的团体和适用的规则

6.3PA02——评估影响

6.3.1.1概要描述

评估影响的目的是识别与系统有关的影响，并评估发生影响的可能性。影响可能是有形的，例如 我财务处罚；也可能是无形的，例如名声或信誉损失

6.3.1.3基本实践列表

BP.02.01识别和分析由系统支撑的运行、 便能能力，开排列优充顺 BP.02.02识别支持核心运行能力或系统安全目标的系统资产，并且描述其特征。 BP.02.03选择用于评估的影响度量， BP.02.04必要时，识别选择用于评估的度量与度量转换因子之间的关系。 BP.02.05识别影响并描述其特征。 BP.02.06监视影响正在发生的变化

6.3.1.4过程域注释

影响是故意或意外引起的、影响资产的非期望事件的后果。此后果可能是某些资产的毁坏、I系 统的损坏和保密性、完整性、可核查性、真实性或可靠性的丧失。可能的间接后果包括财务损失或对市 份额或组织形象造成影响。影响的度量可以影响非期望事件的结果和防止非期望事件的防护费用之 间的平衡。应考虑非期望事件发生的频率，即使每次出现所引起的损害程度不大，但多次发生后的聚集

效应可能导致严重的损害，这一点特别重要。影响评估结果是风险评估和选用防护措施的一个重要的 参考。 这个过程域所产生的影响信息将连同PA04的威胁信息和PA05的脆弱性信息用于PA03。尽管 涉及收集威胁、脆弱性和影响信息的活动已经分别归类到几个单独的过程域中，但是它们是相互依赖 的。目的是发现威胁、脆弱性和影响的组合，并针对该组合判断是否需要采取行动。因此，在对影响进 行研究时，应通过相应的威胁和脆弱性存在的情况，给予一定程度的指导。 由于影响总是变化的，为了确保通过实施这个过程域掌握的影响情况在任何时候都得到维护，应对 它们定期蓝视 在跟踪本过程域的执行情况时，可以通过检查各基本实践的趋势来判断保障论据是否会被满足，具 体参考PA06“建立保障论据”。

6.3.2BP.02.01排列能力优先顺序

识别和分析由系统支撑的操作 业务或使命能力，并且排列优先顺序

识别和分析操作、业务或任务指令，并且排列它们的优先顺序。应考虑业务策略的影响，这些将影 向和缓解组织可能遭受到的影响。进而可能影响到其他基本实践和过程域中处理风险的顺序。因此， 在检查潜在影响时，重要的是要考虑这些影响。本基本实践与PA10"确定安全需要”的活动相关。

6.3.2.2工作产品示例

系统优先权列表和影响调节因素： 系统能力轮廊一一描述系统的能力及其对系统且标的重要性

可将功能和信息资产解释为它们在已定义环境中的价值和重要性。价值可以是操作重要性、分类、 敏感等级，或者用于指定资产对系统预期运行和用途的感知价值的任何其他方法。在运行环境中某个 起支撑作用的功能被损害、修改或者失去可用性的情况下，严重程度可以解释为对系统运行、人的生命、 运行成本和其他关键因素的影响程度。资产的价值也可以用与之有关的、能应用的安全需求来定义，例 日，定义为客户清单的保密性、办公室间沟通的有效性或工资单信息的完整性。与明确的资产相反，许 多资产是无形的或隐含的。所选择的风险评估方法应提出如何评估能力和资产的价值，并排列它们的 优先级。

3BP.02.02识别系

识别支持核心运行能力或系统安全目标的系统资产，并且描述其特征。

识别为支持系统的安全目标或核心能力（运行的、业务的或使命功能的)所必需的系统资源和数 过评估在已定义的环境中提供这种支持的每个资产的重要性，来定义每个资产。

6.3.3.2工作产品示例

产品资产分析一一产品资产及其对系统运行的重要性的标识； 系统资产分析一 一系统资产及其对系统运行的重要性的标识。

GB/T202612020

从广义上说，资产包括系统中的人、环境、技术和基础设施。资产也包括数据和资源；不仅包括信 息，还包括系统（例如通信、数据检索、应用软件或打印资源）。这些资产的重要性可以定义为它们在已 定义环境中对所支持的能力的价值和关键程度的意义。在某些情况下，这个实践是对PA09“提供安全 输人”和PA11"验证和确认安全”工作的评审

4BP.02.03选择影

选择用于评估的影响度量

选择用于评估的影响度量！

为了测量一次事件的影响，可能要使用许多度量。最好针对所考虑的特定系统预先确定将使用 度量。

6.3.4.2工作产品示例

在处理有分歧的度量时，一组有限的、始终如 的度量可以将困难减到最小程度。有多种途径可以 实现定量和定性地测量影响，例如： ·制定财务费用； 规定严重程度经验等级，例如，1～10； 从预定义序列中选用修饰词，例如，高、中、低，

6.3.5BP.02.04识别度量关系

必要时，识别选择用于评估的度量与度量转换因子之间的关系

不同的影响可使用不同的度量进行评估。为确保整个影响评估中对所有暴露采用一致的方法，应 建立不同度量之间的关系。“暴露”指威胁、脆弱性和影响的组合，它的可能造成重大损害。在某些情况 下，有必要把若干度量组合，以产生成一个单一的结果。因此需要建立相应的整理合并方法。对于不同 的系统，整理方法有所不同。使用定性度量时，应建立对应的规则，以指导合并阶段如何组合各个定性 因素。

6.3.5.2工作产品示例

影响度量关系列表一 度量之间的关系描述； 影响度量组合规则—组合影响度量的规则描述 6.3.5.3注释

6.3.6BP.02.05识别影响并描述其特征

使用多个度量或者（适当时）整理的度量来识别非期望事件的影响，并且描述其特

以BP.02.01和BP.02.02中识别的资产和能力作为起点，识别可能导致损害的后果。对于每个资 产而言，这些后果可能包括未授权的暴露、改变、丢失和（或)毁坏。对能力来说，影响可能包括中断、延 迟或者弹性降低。 一旦建立相对完整的列表，就可以使用在BP.02.03和BP.02.04中识别的度量来描述这些影响的 特征。这一步可能需要对保险精算表、历书或者其他资源有一定的研究。度量中的不确定性也应考虑， 并且与每个影响进行关联

6.3.6.2工作产品示例

暴露影响列表潜在的影响和相关度量的列

影响评估的基础是BP.02.03中建立的影响度量，而影响组合的基础是BP.02.04中建立的规则。 在大多数情况下，存在与测量相关的不确定性，以及在特定环境中发生特定影响的可能性。一般来说， 保持不确定性因素的分离会更加有效，这样在采取措施提炼工作数据时可以看出提炼是针对数据本身 还是数据的不确定性。

6.3.7BP.02.06监视影响

适用于任地点和情的影是动态的。 新的影响可能变得相关石油天然气标准规范范本，而且现有影响的特征也会发生 变化。因此，按照一定规则监视现有的影响和检查新的潜在影响很重要。这个基本实践与BP.08.02中 一般性监视活动密切相关

6.3.7.2 工作产品示例

·影响监视报告 描述监视影响的结果 影响变化报告 一描述影响的变化。

影响监视报告 描述监视影响的结果； 影响变化报告 描述影响的变化。

由于影响可能变化，因此影响评估活动应是迭代的，并且应在规定环境中多次进行。然而，影响评 估的重复进行不应用来替代对影响监视，

6.4PA03—评估安全风险

6.4.1.1概要描述

“评宿安全风险”的自的是 定义环境中的安全风险。过程域天注的 根据所掌握的能力和资产易受威胁攻击的情况确定这些风险。具体来说电气标准规范范本，这项活动涉及识别和评估 露发生的可能性。这组活动可能在系统生存周期内的任何时间执行，以便支持针对某个已知环境做 出有关系统开发、维护或者运行相关的决策