信息安全風(fēng)險評估標(biāo)準(zhǔn)介紹

1、2020/7/2202CV7/2yn軸話豊蠱需i路盤豊蠱常H蚩路盤wT煒3H命嚥酬國家風(fēng)險評估前期工作概述2020/7/25為了貫徹落實中辦發(fā)20032刀號文件的精神,國信辦委托國家信息中心牽頭,會同公安部，保密局,中科院和解放軍等部門組織專家成立了風(fēng)險評估課題組。課題組的宗旨是以信息安全風(fēng)險為切入點，全面了解我國信息安全建設(shè)現(xiàn)狀,發(fā)現(xiàn)問題并尋找應(yīng)對措施。課題組在2003年下半年對北京，上海，廣州和深圳四個地區(qū)的十幾個行業(yè)的五十多家企事單位進(jìn)行了廣泛的調(diào)研與走訪，完成了我國信息安全風(fēng)險評估調(diào)查報告，同時，課題組對國內(nèi)外信息安全風(fēng)險評估工作進(jìn)行了系統(tǒng)的理論梳理，所完成的信息安全風(fēng)險評估研究報告做

2、為2004年1月在北京召開全國第一次信息安全保障大會的傳閱文件。在這次大會黃菊同志的講話中要求大家重視風(fēng)險評估工作，并將風(fēng)險評估列為我國信息安全保障體系建設(shè)要抓的五項基礎(chǔ)性工作之一。國家風(fēng)險評估前期工作概述為了進(jìn)一步推動信息安全風(fēng)險評估工作，在2003年工作基礎(chǔ)上,國信辦決是2004年繼續(xù)委托國家信息中心組織信息安全風(fēng)險評估課題組下一階段的工作。為了將已有工作做深做實，并為下一步國家出臺風(fēng)險評估指導(dǎo)意見以及進(jìn)行國家重要信息系統(tǒng)和基礎(chǔ)網(wǎng)絡(luò)的風(fēng)險評估試點工作做準(zhǔn)備,根據(jù)國信辦領(lǐng)導(dǎo)的指示，課題組在2004年上半年啟動了風(fēng)險評估指南和風(fēng)險管理指南等標(biāo)準(zhǔn)的編制工作。旨在通過這項工作更好地加強信息安全風(fēng)險

3、評估及管理,使其流程更加科學(xué).規(guī)范和有效，從而促進(jìn)我國信息安全保障體系的建立,進(jìn)而推動我國信息化的建設(shè)歷程。風(fēng)險評估標(biāo)準(zhǔn)編制情況介紹自任務(wù)下達(dá)后,國家信息中心組織國內(nèi)十幾家從事過安全風(fēng)險評估工作的單位開展了信息安全風(fēng)險評估標(biāo)準(zhǔn)規(guī)范的制定工作，對當(dāng)前大家在評估實踐工作默認(rèn)的共同規(guī)范進(jìn)行歸納、總結(jié).簡化與提升。標(biāo)準(zhǔn)編制工作于2004年3月29日正式啟動f整個撰寫工作分為前期準(zhǔn)備階段.提綱編制階段.任務(wù)細(xì)化階段整合完成階段等階段,歷時一年先后完成vv信息安全評估指南與vv信息安全管理指南的征求意見稿。2020/7/27標(biāo)準(zhǔn)編制原則(1) 立足于我國當(dāng)前信息化建設(shè)現(xiàn)狀,對我國信息安全風(fēng)險評估方法進(jìn)行總

4、結(jié)、歸納、簡化與提升,注重吸納國外相關(guān)領(lǐng)域的先進(jìn)成果并為我所用,使其本土化。(2) 可操作性和實用性。標(biāo)準(zhǔn)是對實際工作的總結(jié)與提升，但最終還要用于實踐，要經(jīng)得起實踐的檢驗。因此要可用f可操作。(3) 注重吸收主管部門在評估方面已有的經(jīng)驗與成果。如等級保護(hù)、保密檢查和產(chǎn)品測評等。(4) 科學(xué)性與前瞻性。評估標(biāo)準(zhǔn)中要體現(xiàn)科學(xué)性。所提供的方法要可信，要具有引領(lǐng)的作用。2020/7/29三.風(fēng)險評估標(biāo)準(zhǔn)內(nèi)容簡介2020/7/2111.2.評估指南內(nèi)容簡介管理指南內(nèi)容簡介三、風(fēng)險評估標(biāo)準(zhǔn)內(nèi)容簡介2020/7/2#評估指南內(nèi)容簡介2、管理指南內(nèi)容簡介1. 風(fēng)險評估指南內(nèi)容簡介VV信息安全風(fēng)險評估指南>

5、;>包括指南文本和附錄兩部分。其中指南文本由一個前言和章內(nèi)容組成,分為以下幾部分:1. 概述部分；2. 模型與流程部分；3. 實施部分；4.關(guān)聯(lián)部分。附錄部分由二個附錄組成。2020/7/215信息系統(tǒng)的安全風(fēng)險<是指由于系統(tǒng)存在的脆弱性，人為或自然的威脅導(dǎo)致安全事件發(fā)生所造成的彩響。信息安全風(fēng)險評估,則是指依據(jù)國家有關(guān)信息安全技術(shù)標(biāo)準(zhǔn),對信息系統(tǒng)及由其處理傳輸和存儲的信息的保密性.完整性和可用性等安全屬性進(jìn)行科學(xué)評價的過程,它要評估信息系統(tǒng)的脆弱性信息系統(tǒng)面臨的威脅以及脆弱性被威脅源利用后安全事件發(fā)生的可能性,并結(jié)合資產(chǎn)的重要程度來識別信息系統(tǒng)的安全風(fēng)險。術(shù)語及定義險估性風(fēng)評產(chǎn)值

6、脅葩險余險資價威脆風(fēng)殘風(fēng)可用性保密性完整性業(yè)務(wù)戰(zhàn)略安全事件安全需求安全措施自評估檢查評估風(fēng)險評估要素關(guān)系模型2020/7/2#風(fēng)險計算模型2020/7/217風(fēng)險評估實施流程2020/7/219風(fēng)險評估的準(zhǔn)備資產(chǎn)”只別威脅甲別脆弱性識別風(fēng)險識別是W呆持已有的控制措施1I已有安全措施的確認(rèn)風(fēng)險計算風(fēng)險是否接受卿古結(jié)果文檔山;11I選擇適當(dāng)?shù)目刂拼胧┎⒃u彳估殘余風(fēng)險否是否接受殘余風(fēng)險實施風(fēng)險管理風(fēng)險評估結(jié)果記錄:II評估指南根據(jù)評估的發(fā)起方的不同,將風(fēng)險評估形式分為自評估和檢查評估兩大類。自評估是由被評估信息系統(tǒng)的擁有者發(fā)起的，并依靠自身的力量,對其自身的信息系統(tǒng)進(jìn)行的風(fēng)險評估活動。檢查評估則通常

7、是被評估信息系統(tǒng)的擁有者的上級主管機關(guān)或業(yè)務(wù)主管機關(guān)發(fā)起的，旨在依據(jù)已經(jīng)頒布的法規(guī)或標(biāo)準(zhǔn)進(jìn)行的，具有強制意味的檢查活動,是通過行政手段加強信息安全的重要措施。信息安全風(fēng)險評估服務(wù)機構(gòu)可為自評估和檢查評估提供風(fēng)險評估的咨詢.培訓(xùn)等服務(wù)以及提供風(fēng)險評估的有關(guān)工具和手段。在風(fēng)險評估指南的文本部分,我們試圖給岀進(jìn)行風(fēng)險評估的一個路線圖（實施流程），以及這個路線圖中包括的若干關(guān)犍點（關(guān)鍵步驟）和從一個關(guān)鍵點到另一個關(guān)鍵點的原則。這些也是參與編制工作的人員共同討論的結(jié)果。這也體現(xiàn)了做為國家標(biāo)準(zhǔn)對于通用規(guī)律的把握。同時>為了避免過程的僵硬,以及體現(xiàn)評估中定量與定性的結(jié)合的特點,對于一些具體的實現(xiàn)細(xì)節(jié)指

8、南進(jìn)行了開放性地處理>放到了附錄部分。即在附錄中給岀了當(dāng)前較為常用的風(fēng)險計算方法與工具以供選擇,此部分將隨著技術(shù)的發(fā)展而不斷更新。三.風(fēng)險評估標(biāo)準(zhǔn)內(nèi)容簡介1.2.評估指南內(nèi)容簡介管理指南內(nèi)容簡介2020/7/2232.風(fēng)險管理指南內(nèi)容簡介VV信息安全風(fēng)險管理指南>>的文本由一個前言和14個章節(jié)組成,主要包括以下幾方面的內(nèi)容：1.2.3.4.5. 風(fēng)險管理在信息系統(tǒng)生命周期不同階段的運用信息安全風(fēng)險管理的目的和意義信息安全風(fēng)險管理是信息安全保障工作中的_項基礎(chǔ)性工作O(1) 信息安全風(fēng)險管理體現(xiàn)在信息安全保障體系的技術(shù).組織和管理等方面。(2) 信息安全風(fēng)險管理貫穿信息系統(tǒng)生命

9、周期的全部過程。(3) 信息安全風(fēng)險管理依據(jù)等級保護(hù)的思想和適度安全的原則,平衡成本與效益，合理部署和利用信息安全的信任體系、監(jiān)控體系和應(yīng)急處理等重要的基礎(chǔ)設(shè)施,確走合適的安全措施,從而確保機構(gòu)具有主成其使命的信息安全保障能力。2020/7/225信息環(huán)境信息環(huán)境2020/7/229信息環(huán)境信息載體信息載體信息自身信息載體信息載體信息環(huán)境信息環(huán)境信息環(huán)境風(fēng)險管理的內(nèi)容和過程溝迪與咨詢溝通與咨詢溝通與咨詢溝通與咨詢?nèi)S結(jié)構(gòu)關(guān)系信*息安全目標(biāo)/X信息安全風(fēng)險管理-5亥比隹.目術(shù)扌衿a鳳險控制:!:Mi幽!wi對一象碗立:iJMJH二二二設(shè)詳二二二二廃棄三葆障:級別:信息系統(tǒng)生命周期202CV7/2

10、尸3夕省迪血脳工茸荊呂廉璋SF料耕1.整體工作介紹在前述工作的基礎(chǔ)上,為制定VV關(guān)于開展信息安全風(fēng)險評估工作的意見提供實踐依據(jù)以及在實踐中進(jìn)一步修改完善兩項國家標(biāo)準(zhǔn)國信辦聯(lián)合有關(guān)部門和地方在2005年對銀行稅務(wù).電力.國家電子政務(wù)外網(wǎng)等重要信息系統(tǒng)和關(guān)犍基礎(chǔ)設(shè)施以及北京市.上海市.義龍江省.云南省等地方的電子政務(wù)系統(tǒng)啟動了風(fēng)險評估試點工作。試點工作分為準(zhǔn)備階段.實施階段和總結(jié)階段,工作時間為8個月。各試點單位將依據(jù)vv信息安全風(fēng)險評估指南和信息安全風(fēng)險管理指南f結(jié)合自身的具體情況，選擇相應(yīng)的風(fēng)險評估方法和適當(dāng)?shù)墓ぞ?，制定風(fēng)險評估實施方案,并在評估實踐中進(jìn)一步檢驗標(biāo)準(zhǔn)的完備性和適用性，同時摸索國

11、家進(jìn)一步開展風(fēng)險評估工作的實踐經(jīng)驗。試點工作中還將檢驗自評估、檢查評估等不同信息安全風(fēng)險評估工作模式的實踐效果,為國家信息安全主管部門制定信息安全管理政策提供客觀依據(jù);了解和掌握被評估的信息系統(tǒng)的安全風(fēng)險狀況,為信息系統(tǒng)的使用管理部門制定安全策略、采取安全措施提供決策建議。2、專家組的工作安排為了完成兩項國標(biāo)的修改與完善工作,在國信辦原有的風(fēng)險評估課題組的基礎(chǔ)上,成立了國信辦風(fēng)險評估試點工作專家組,其主要任務(wù)為：在準(zhǔn)備階段組織八個試點單位的相關(guān)人員進(jìn)行培訓(xùn),明確風(fēng)險評估流程和風(fēng)險評估準(zhǔn)備階段的任務(wù)，協(xié)助試點單位制定其風(fēng)險評估實施方案。在實施階段到各試點單位調(diào)研,選擇重點行業(yè)的單位進(jìn)行階段性的蹲

12、點<廣泛調(diào)研其試點方案實施情況，了解各單位在試點過程中對評估及管理的流程.方法.工具和手段的使用存在的問題,不斷充實和完善標(biāo)準(zhǔn)。2.專家組的工作安排在總結(jié)階段將匯總各試點單位的試點工作情況,完善準(zhǔn)的修改意見。在各試點單位正式總結(jié)之前，召開評審會為國信辦試點工作總結(jié)提供基礎(chǔ)素材。充實和完善信息安全風(fēng)險評估指南和信息安全風(fēng)險管理指南,通過試點工作提出兩個標(biāo)準(zhǔn)的修改意見，根據(jù)國信辦領(lǐng)導(dǎo)的指示，兩項國標(biāo)將經(jīng)過試點工作的完善與修改，于2005年年底完成并正式報為國標(biāo)。同時與標(biāo)準(zhǔn)相關(guān)的配套理論、方法和規(guī)范的研究目前正在進(jìn)行之中。此外,專家組還將協(xié)助風(fēng)險評估試點工作領(lǐng)導(dǎo)小組制是關(guān)于開展信息安全風(fēng)險評估工作的意見。3、規(guī)劃與設(shè)計階段風(fēng)險評估實施細(xì)則標(biāo)準(zhǔn)的項目化提出風(fēng)險評估項目工作指南具體方法的提岀發(fā)現(xiàn)威脅的方法