YDT 1730-2008 《电信网和互联网安全风险评估实施指南》.pdf

b YD 中 华 人 民 共 和 国 通 信 行 业 标 准 YD/T ××××—×××× 电信网和互联网安全风险评估实施指南 Implementation Guide for Security Risk Assessment of Telecom Network and Internet （报批稿） ××××- ××- ××发布 ××××- ××- ××实 中华人民共和国信息产业部 发布 YD/T xxxx-xxxx 目 次 前 言 III 1 范围 1 2 规范性引用文件 1 3 术语和定义 1 4 风险评估框架及流程 4 4.1 风险要素关系 4 4.2 实施流程 6 4.3 工作形式 6 4.4 遵循的原则 7 5 风险评估实施 7 5.1 风险评估的准备 7 5.2 资产识别 9 5.3 威胁识别 12 5.4 脆弱性识别 14 5.5 威胁利用脆弱性的关联关系 16 5.6 已有安全措施的确认 17 5.7 风险分析 17 5.8 风险评估文件 20 6 风险评估在电信网和互联网及相关系统生命周期中的不同要求 21 6.1 电信网和互联网及相关系统生命周期概述 21 6.2 启动阶段的风险评估 22 6.3 设计阶段的风险评估 22 6.4 实施阶段的风险评估 23 6.5 运维阶段的风险评估 23 6.6 废弃阶段的风险评估 24 附 录 A （规范性附录）资产价值的计算方法 25 A.1 对数法 25 A.2 矩阵法 25 I YD/T xxxx-xxxx 附 录 B （规范性附录）风险值的计算方法 27 B.1 相乘法 27 B.2 矩阵法 27 参考文献 29 II YD/T xxxx-xxxx 前 言 本标准是“电信网和互联网安全防护体系”系列标准之一。该系列标准预计结构及名称如下： 1、 《电信网和互联网安全防护管理指南》 2、 《电信网和互联网安全等级保护实施指南》 3、 《电信网和互联网安全风险评估实施指南》（本标准） 4、 《电信网和互联网灾难备份及恢复实施指南》 5、 《固定通信网安全防护要求》 6、 《移动通信网安全防护要求》 7、 《互联网安全防护要求》 8、 《增值业务网—消息网安全防护要求》 9、 《增值业务网—智能网安全防护要求》 10、 《接入网安全防护要求》 11、 《传送网安全防护要求》 12、 《IP 承载网安全防护要求》 13、 《信令网安全防护要求》 14、 《同步网安全防护要求》 15、 《支撑网安全防护要求》 16、 《非核心生产单元安全防护要求》 17、 《电信网和互联网物理环境安全等级保护要求》 18、