ICS 35.060 M 36 DB44 广 东 省 地 方 标 准 DB44/T 2189.3—2019 移动终端信息安全 第 3 部分：敏感信息风险评估 Informataion security of mobile terminal—Part3：Risk evaluation for sensitive information 2019 - 09 - 09 发布 广东省市场监督管理局 2019 - 12 - 01 实施 发 布 DB44/T 2189.3—2019 目 次 前言 .................................................................................III 1 范围 .................................................................................1 2 规范性引用文件 .......................................................................1 3 术语和定义 ...........................................................................1 4 概述 .................................................................................1 5 移动终端敏感信息风险评估模型 .........................................................1 5.1 敏感信息风险要素 .................................................................1 5.2 敏感信息风险分析示意图 ...........................................................1 5.3 敏感信息风险评估实施流程 .........................................................2 6 敏感信息风险要素识别 .................................................................2 6.1 6.2 6.3 6.4 6.5 6.6 敏感信息生成的风险要素识别 .......................................................2 敏感信息存储的风险要素识别 .......................................................2 敏感信息加工的风险要素识别 .......................................................3 敏感信息转移的风险要素识别 .......................................................3 敏感信息应用的风险要素识别 .......................................................3 敏感信息废止与删除的风险要素识别 .................................................4 7 敏感信息风险评估实施 .................................................................4 7.1 风险评估的准备 ...................................................................4 7.2 资产识别 .........................................................................4 7.2.1 资产分类 .....................................................................5 7.2.2 资产赋值 .....................................................................5 7.3 威胁识别 .........................................................................6 7.3.1 总则 .........................................................................6 7.3.2 威胁识别分类 .................................................................7 7.3.3 威胁赋值 .....................................................................7 7.4 脆弱性识别 .......................................................................8 7.4.1 脆弱性识别分类 ...............................................................8 7.4.2 脆弱性赋值 ...................................................................9 7.5 已有安全措施的确认 ...............................................................9 8 敏感信息风险分析 ....................................................................10 8.1 风险分析原理 ....................................................................10 8.2 风险分析过程 ....................................................................10 8.2.1 风险计算方法 ................................................................10 8.2.2 风险等级赋值 ................................................................10 I DB44/T 2189.3—2019 8.3 风险处理 ........................................................................ 11 8.4 残余风险评估 .................................................................... 11 9 敏感信息风险评估文档 ................................................................ 11 参 考 文 献 ........................................................................ 12 II DB44/T 2189.3—2019 前 言 《移动终端信息安全》分为4个部分： ——移动终端信息安全 第1部分：敏感信息安全检测技术要求； ——移动终端信息安全 第2部分：敏感信息等级保护与测评； ——移动终端信息安全 第3部分：敏感信息风险评估； ——移动终端信息安全 第4部分：敏感信息安全检测方法。 本部分为第3部分。 本标准按照GB/T 1.1-2009给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由广东省工业和信息化厅提出。 本标准由广东省大数据标准化技术委员会（GD/TC120）归口。 本标准的主要起草单位：工业和信息化部电子第五研究所。 本标准主要起草人：王韬、王贵虎、杨春晖、林军、冯晓荣、谢克强、华小方。 本部分为首次发布。 III DB44/T 2189.3—2019 移动终端信息安全 第 3 部分：敏感信息风险评估 1 范围 本部分规定了敏感信息生成阶段、存储阶段、加工阶段、转移阶段、应用阶段、废止与删除阶段的 风险评估实施流程、评估内容和评估方法。 本部分适用于移动通信网的智能手机和平板电脑设备。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 20984-2007 信息安全技术 信息安全风险评估规范 GB/Z 24364-2009 信息安全技术 信息安全风险管理指南 DB44/T 2189.1-2019 移动终端信息安全 第 1 部分：敏感信息安全检测技术要求 3 术语和定义 DB44/T 2189.1-2019 界定的术语和定义适用于本部分。 4 概述 敏感信息安全风险评估是针对移动终端敏感信息基于风险理论和方法在移动终端的运用，分析和 理解敏感信息在保密性、完整性、可用性等方面所面临的风险，并在风险的减少、转移和规避等风险控 制方法之间做出决策的过程。敏感信息安全风险评估主要包括评估移动终端敏感信息包含的脆弱性、面 临的威胁以及脆弱性被威胁源利用后产生的实际负面影响，并根据安全事件发生的可能性和负面影响的 程度来识别移动终端敏感信息的安全风险。根据风险评估的结果制定敏感信息安全解决方案，最大限度 避免安全威胁。 5 移动终端敏感信息风险评估模型 5.1 敏感信息风险要素 敏感信息风险评估的基本要素包括敏感信息资产、安全威胁、脆弱性及已采取的安全措施。与基本 要素相关的属性包括敏感信息价值、安全需求、残余风险、安全事件等各类相关属性。 敏感信息风险评估围绕全生命周期的基本要素进行评估，同时需要充分考虑与