國家標(biāo)準(zhǔn)《信息安全風(fēng)險評估實施指南》

國家標(biāo)準(zhǔn)《信息安全風(fēng)險評估實施指南》（送審稿）編制說明1、工作簡況1.1任務(wù)來源2009年12月，信息安全標(biāo)準(zhǔn)化技術(shù)委員會正式下達任務(wù)書，將《信息安全風(fēng)險評估實施指南》作為2010年度的國家標(biāo)準(zhǔn)制定項目，定性為國家推薦性標(biāo)準(zhǔn)，由國家信息中心承擔(dān)，標(biāo)準(zhǔn)制定任務(wù)正式啟動。國家信息安全標(biāo)準(zhǔn)化技術(shù)委員會已下?lián)軜?biāo)準(zhǔn)研制經(jīng)費，并簽署任務(wù)合同書。1.2起草單位和人員組成本項目由國家信息中心負(fù)責(zé)進行標(biāo)準(zhǔn)的起草，北京信息安全測評中心、國家保密技術(shù)研究所、上海市信息安全測評認(rèn)證中心、沈陽東軟系統(tǒng)集成工程有限公司、國和信誠（北京）信息安全有限公司等單位參與起草。1.3編制過程（1）標(biāo)準(zhǔn)草案編制階段標(biāo)準(zhǔn)草案編制工作于2010年1月啟動，通過前期準(zhǔn)備階段、提綱編制階段、任務(wù)細(xì)化階段、整合完成階段，在全面了解我國信息安全風(fēng)險評估實踐狀況的基礎(chǔ)上，經(jīng)過反復(fù)修改完善，于2010年6月形成《信息安全風(fēng)險評估實施指南》征求意見稿。（2）意見征求階段2010年7月-10月，將《信息安全風(fēng)險評估實施指南》征求意見稿向?qū)＜遗c一些一線信息安全服務(wù)機構(gòu)（公司）征求意見。根據(jù)各試點單位的反饋意見，標(biāo)準(zhǔn)編制小組組織了兩次大規(guī)模的修改過程；同時向相關(guān)單位以發(fā)放了標(biāo)準(zhǔn)文本，征求對標(biāo)準(zhǔn)的意見，根據(jù)修改意見進行了修改。（3）修改完善階段2010年11月、12月，國家信息中心組織編寫組成員對征求來的各意見進行討論、采納、修改，并于2011年3月正式形成《信息安全風(fēng)險評估實施指南》標(biāo)準(zhǔn)草案修改稿。（4）專家評審階段2011年3月、6月，國家信息中心委托信安標(biāo)委聘請專家，對《信息安全風(fēng)險評估實施指南》標(biāo)準(zhǔn)草案修改稿進行專家評審，收到專家意見多條，并通過了專家評審。（5）WG7成員單位決議階段2011年8月5日，安標(biāo)委WG7組組織全體成員單位對國家信息中心承擔(dān)的《信息安全風(fēng)險評估實施指南》標(biāo)準(zhǔn)草案稿進行全體投票決議，最后該標(biāo)準(zhǔn)草案稿高票獲得通過，獲準(zhǔn)向社會公布，以進一步廣泛征求社會各界的意見與建議。截止2011年8月，編寫組共收到修改意見90多條，其中采納的接近70條，對于未采納的意見，標(biāo)準(zhǔn)編制小組在意見處理表中給予了明確說明。(6)部門征求意見階段2011年9月至10月，安標(biāo)委秘書處就本標(biāo)準(zhǔn)征求意見稿在各相關(guān)主管部門范圍內(nèi)征求意見。共收到來自公安部、國家密碼局和國家保密局的6條意見。標(biāo)準(zhǔn)編制組對收集到的意見進行了匯總處理，修改完善后形成標(biāo)準(zhǔn)送審稿。2、編制原則和主要內(nèi)容2.1編制原則1)立足于我國當(dāng)前信息化建設(shè)現(xiàn)狀，對我國信息安全風(fēng)險評估方法進行總結(jié)、歸納、簡化與提升，注重吸納國外相關(guān)領(lǐng)域的先進成果并為我所用,使其本土化。2)風(fēng)險評估實施指南是對GB/T20984-2007《信息技術(shù)信息安全風(fēng)險評估規(guī)范》標(biāo)準(zhǔn)的細(xì)化，具體對各階段的評估工作進行細(xì)化。3)可操作性和實用性。標(biāo)準(zhǔn)是對實際工作的總結(jié)與提升，但最終還要用于實踐，要經(jīng)得起實踐的檢驗。因此要可用，可操作。4)注重吸收主管部門在評估方面已有的經(jīng)驗與成果。如等級保護、安全檢查和產(chǎn)品測評等。5)科學(xué)性與前瞻性。評估標(biāo)準(zhǔn)中要體現(xiàn)科學(xué)性。所提供的方法要可信，要具有引領(lǐng)的作用。2.2主要內(nèi)容本課題主要集中研究風(fēng)險評估實施過程中的若干關(guān)鍵技術(shù)與方法，研究內(nèi)容主要有：1）課題定位關(guān)系研究確定本課題與GB/T20984-2007《信息技術(shù)信息安全風(fēng)險評估規(guī)范》關(guān)系,結(jié)合國家信息中心正在編寫的《信息安全風(fēng)險管理規(guī)范》標(biāo)準(zhǔn)草案，確定本課題在風(fēng)險管理體系上的定位，確定此課題的研究重點方向。2）信息系統(tǒng)風(fēng)險評估實施的參考標(biāo)準(zhǔn)研究該工作主要分析、研究、歸納適合我國風(fēng)險評估實施工作中需要參考、借鑒的國內(nèi)外標(biāo)準(zhǔn)。主要包括：《信息安全風(fēng)險管理規(guī)范》草案、NISTSP800-26《SecuritySelf-AssessmentGuideforInformationTechnologySystems》、NISTSP800-30《RiskManagementGuideforInformationTechnologySystems》、NISTSP800-53《RecommendedSecurityControlsforFederalInformationSystems》標(biāo)準(zhǔn)等。3）信息系統(tǒng)風(fēng)險評估實施的流程研究該工作主要依據(jù)風(fēng)險評估國家標(biāo)準(zhǔn)中提出的四個實施階段進行具體工作研究，結(jié)合評估試點工作和行業(yè)案例的實踐情況，提出適合國內(nèi)各行業(yè)進行實際評估操作的工作流程細(xì)則，包括：各個階段工作的具體內(nèi)容、具體工作方法、實施技術(shù)、操作工具、實施案例等。4）信息系統(tǒng)風(fēng)險評估實施的安全技術(shù)研究該工作主要對評估實施工作中用到的安全分析（資產(chǎn)、威脅、脆弱性等）、檢測技術(shù)進行研究，通過參考、借鑒國內(nèi)外相關(guān)實際工作情況，落實評估工作中可使用技術(shù)、工具，規(guī)范評估各階段文件內(nèi)容，以及評估報告內(nèi)容。5）信息系統(tǒng)風(fēng)險評估實施的安全管理研究該工作主要對評估實施工作中用到的安全管理技術(shù)進行研究，通過參考、借鑒國內(nèi)外相關(guān)安全管理標(biāo)準(zhǔn)，形成我國各行業(yè)單位進行實際評估工作的安全管理要求。6）信息系統(tǒng)風(fēng)險評估實施中的質(zhì)量管理研究該工作主要對評估實施過程中的項目管理工作進行質(zhì)量監(jiān)督、管理方面的研究，通過參考、借鑒項目管理與質(zhì)量管理的各種技術(shù)方法，形成適合我國各行業(yè)單位進行風(fēng)險評估工作的質(zhì)量管理規(guī)范。3．主要試驗或驗證的分析、綜述報告，預(yù)期的經(jīng)濟效果本課題較好的完成了項目任務(wù)書中的各項研究任務(wù)，基本形成了一套邏輯嚴(yán)謹(jǐn)、技術(shù)先進、方法科學(xué)、具有普遍實施指導(dǎo)意義的信息系統(tǒng)風(fēng)險評估技術(shù)方法。該方法通過多家信息安全服務(wù)機構(gòu)、信息安全服務(wù)公司等單位的實際應(yīng)用，結(jié)果證明可將本課題的研究成果用于指導(dǎo)用戶進行信息安全風(fēng)險評估工作，并可保證風(fēng)險評估實施的過程及方法基本滿足GB/T20984-2007《信息技術(shù)信息安全風(fēng)險評估規(guī)范》的要求，達到了課題研究的目標(biāo)。本課題成果是在分析研究國內(nèi)外風(fēng)險評估相關(guān)標(biāo)準(zhǔn)和規(guī)范、升華2005年“我國重要信息系統(tǒng)和關(guān)鍵基礎(chǔ)設(shè)施風(fēng)險評估試點”經(jīng)驗以及國家信息中心、北京信息安全測評中心等單位多年來從事風(fēng)險評估和等級測評積累的經(jīng)驗方法基礎(chǔ)上取得的，本課題成果操作性強，應(yīng)用面廣。2008-2010年，國家信息中心利用本成果對國家糧食局政府網(wǎng)站、國務(wù)院扶貧辦政府網(wǎng)站、