信息安全風(fēng)險評估標(biāo)準(zhǔn)及試點工作情況介紹范紅_第1頁
信息安全風(fēng)險評估標(biāo)準(zhǔn)及試點工作情況介紹范紅_第2頁
信息安全風(fēng)險評估標(biāo)準(zhǔn)及試點工作情況介紹范紅_第3頁
信息安全風(fēng)險評估標(biāo)準(zhǔn)及試點工作情況介紹范紅_第4頁
信息安全風(fēng)險評估標(biāo)準(zhǔn)及試點工作情況介紹范紅_第5頁
已閱讀5頁,還剩26頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

國家信息平安風(fēng)險評估工作情況介紹報告人:范紅二00五年五月1匯報內(nèi)容一、國家風(fēng)險評估前期工作概述二、風(fēng)險評估標(biāo)準(zhǔn)編制情況介紹三、風(fēng)險評估標(biāo)準(zhǔn)內(nèi)容簡介四、風(fēng)險評估試點工作情況介紹五、下一步的工作考慮2一、國家風(fēng)險評估前期工作概述

為了貫徹落實中辦發(fā)2003[27]號文件的精神,國信辦委托國家信息中心牽頭,會同公安部,保密局,中科院和解放軍等部門組織專家成立了風(fēng)險評估課題組。課題組的宗旨是以信息平安風(fēng)險為切入點,全面了解我國信息平安建設(shè)現(xiàn)狀,發(fā)現(xiàn)問題并尋找應(yīng)對措施。課題組在2003年下半年對北京,上海,廣州和深圳四個地區(qū)的十幾個行業(yè)的五十多家企事單位進行了廣泛的調(diào)研與走訪,完成了我國信息平安風(fēng)險評估調(diào)查報告,同時,課題組對國內(nèi)外信息平安風(fēng)險評估工作進行了系統(tǒng)的理論梳理,所完成的信息平安風(fēng)險評估研究報告做為2004年1月在北京召開全國第一次信息平安保障大會的傳閱文件。在這次大會黃菊同志的講話中要求大家重視風(fēng)險評估工作,并將風(fēng)險評估列為我國信息平安保障體系建設(shè)要抓的五項根底性工作之一。

3一、國家風(fēng)險評估前期工作概述

為了進一步推動信息平安風(fēng)險評估工作,在2003年工作根底上,國信辦決定2004年繼續(xù)委托國家信息中心組織信息平安風(fēng)險評估課題組下一階段的工作。為了將已有工作做深做實,并為下一步國家出臺風(fēng)險評估指導(dǎo)意見以及進行國家重要信息系統(tǒng)和根底網(wǎng)絡(luò)的風(fēng)險評估試點工作做準(zhǔn)備,根據(jù)國信辦領(lǐng)導(dǎo)的指示,課題組在2004年上半年啟動了風(fēng)險評估指南和風(fēng)險管理指南等標(biāo)準(zhǔn)的編制工作。旨在通過這項工作更好地加強信息平安風(fēng)險評估及管理,使其流程更加科學(xué)、標(biāo)準(zhǔn)和有效,從而促進我國信息平安保障體系的建立,進而推動我國信息化的建設(shè)歷程。4二、風(fēng)險評估標(biāo)準(zhǔn)編制情況介紹

自任務(wù)下達后,國家信息中心組織國內(nèi)十幾家從事過平安風(fēng)險評估工作的單位開展了信息平安風(fēng)險評估標(biāo)準(zhǔn)標(biāo)準(zhǔn)的制定工作,對當(dāng)前大家在評估實踐工作默認的共同標(biāo)準(zhǔn)進行歸納、總結(jié)、簡化與提升。標(biāo)準(zhǔn)編制工作于2004年3月29日正式啟動,整個撰寫工作分為前期準(zhǔn)備階段、提綱編制階段、任務(wù)細化階段、整合完成階段等階段,歷時一年先后完成<<信息平安評估指南>>與<<信息平安管理指南>>的征求意見稿。

5標(biāo)準(zhǔn)編制原那么

〔1〕立足于我國當(dāng)前信息化建設(shè)現(xiàn)狀,對我國信息平安風(fēng)險評估方法進行總結(jié)、歸納、簡化與提升,注重吸納國外相關(guān)領(lǐng)域的先進成果并為我所用,使其外鄉(xiāng)化。〔2)可操作性和實用性。標(biāo)準(zhǔn)是對實際工作的總結(jié)與提升,但最終還要用于實踐,要經(jīng)得起實踐的檢驗。因此要可用,可操作?!?)注重吸收主管部門在評估方面已有的經(jīng)驗與成果。如等級保護、保密檢查和產(chǎn)品測評等。〔4)科學(xué)性與前瞻性。評估標(biāo)準(zhǔn)中要表達科學(xué)性。所提供的方法要可信,要具有引領(lǐng)的作用。6三、風(fēng)險評估標(biāo)準(zhǔn)內(nèi)容簡介

1、評估指南內(nèi)容簡介2、管理指南內(nèi)容簡介

7三、風(fēng)險評估標(biāo)準(zhǔn)內(nèi)容簡介

1、評估指南內(nèi)容簡介2、管理指南內(nèi)容簡介

81、風(fēng)險評估指南內(nèi)容簡介<<信息平安風(fēng)險評估指南>>包括指南文本和附錄兩局部。其中指南文本由一個前言和8章內(nèi)容組成,分為以下幾局部:1、概述局部;2、模型與流程局部;3、實施局部;4、關(guān)聯(lián)局部。附錄局部由二個附錄組成。9風(fēng)險評估的定義

信息系統(tǒng)的平安風(fēng)險,是指由于系統(tǒng)存在的脆弱性,人為或自然的威脅導(dǎo)致平安事件發(fā)生所造成的影響。信息平安風(fēng)險評估,那么是指依據(jù)國家有關(guān)信息平安技術(shù)標(biāo)準(zhǔn),對信息系統(tǒng)及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等平安屬性進行科學(xué)評價的過程,它要評估信息系統(tǒng)的脆弱性、信息系統(tǒng)面臨的威脅以及脆弱性被威脅源利用后平安事件發(fā)生的可能性,并結(jié)合資產(chǎn)的重要程度來識別信息系統(tǒng)的平安風(fēng)險。10術(shù)語及定義資產(chǎn)價值威脅脆弱性風(fēng)險剩余風(fēng)險風(fēng)險評估可用性保密性完整性業(yè)務(wù)戰(zhàn)略平安事件平安需求平安措施自評估檢查評估11風(fēng)險評估要素關(guān)系模型安全措施

抗擊業(yè)務(wù)戰(zhàn)略脆弱性安全需求威脅風(fēng)險殘余風(fēng)險安全事件依賴擁有被滿足利用暴露降低增加增加增加導(dǎo)出演變

未被滿足未控制可能誘發(fā)殘留成本資產(chǎn)資產(chǎn)價值12風(fēng)險計算模型資產(chǎn)擁有者威脅來源信息資產(chǎn)威脅弱點安全事件安全風(fēng)險(風(fēng)險值)13風(fēng)險評估實施流程否是否是風(fēng)險評估的準(zhǔn)備已有安全措施的確認風(fēng)險計算風(fēng)險是否接受保持已有的控制措施選擇適當(dāng)?shù)目刂拼胧┎⒃u估殘余風(fēng)險實施風(fēng)險管理脆弱性識別威脅識別資產(chǎn)識別是否接受殘余風(fēng)險

風(fēng)險識別評估過程文檔評估過程文檔風(fēng)險評估結(jié)果記錄評估結(jié)果文檔………………14

風(fēng)險評估的形式及角色運用評估指南根據(jù)評估的發(fā)起方的不同,將風(fēng)險評估形式分為自評估和檢查評估兩大類。自評估是由被評估信息系統(tǒng)的擁有者發(fā)起的,并依靠自身的力量,對其自身的信息系統(tǒng)進行的風(fēng)險評估活動。檢查評估那么通常是被評估信息系統(tǒng)的擁有者的上級主管機關(guān)或業(yè)務(wù)主管機關(guān)發(fā)起的,旨在依據(jù)已經(jīng)公布的法規(guī)或標(biāo)準(zhǔn)進行的,具有強制意味的檢查活動,是通過行政手段加強信息平安的重要措施。信息平安風(fēng)險評估效勞機構(gòu)可為自評估和檢查評估提供風(fēng)險評估的咨詢、培訓(xùn)等效勞以及提供風(fēng)險評估的有關(guān)工具和手段。

15在風(fēng)險評估指南的文本局部,我們試圖給出進行風(fēng)險評估的一個路線圖〔實施流程〕,以及這個路線圖中包括的假設(shè)干關(guān)鍵點〔關(guān)鍵步驟〕和從一個關(guān)鍵點到另一個關(guān)鍵點的原那么。這些也是參與編制工作的人員共同討論的結(jié)果。這也表達了做為國家標(biāo)準(zhǔn)對于通用規(guī)律的把握。同時,為了防止過程的僵硬,以及表達評估中定量與定性的結(jié)合的特點,對于一些具體的實現(xiàn)細節(jié)指南進行了開放性地處理,放到了附錄局部。即在附錄中給出了當(dāng)前較為常用的風(fēng)險計算方法與工具以供選擇,此局部將隨著技術(shù)的開展而不斷更新。16三、風(fēng)險評估標(biāo)準(zhǔn)內(nèi)容簡介

1、評估指南內(nèi)容簡介

2、管理指南內(nèi)容簡介

172、風(fēng)險管理指南內(nèi)容簡介

<<信息平安風(fēng)險管理指南>>的文本由一個前言和14個章節(jié)組成,主要包括以下幾方面的內(nèi)容:1、信息平安風(fēng)險管理的目的和意義2、信息平安風(fēng)險管理的范圍和對象3、信息平安風(fēng)險管理的角色和責(zé)任4、信息平安風(fēng)險管理的內(nèi)容和過程5、風(fēng)險管理在信息系統(tǒng)生命周期不同階段的運用

18信息平安風(fēng)險管理的目的和意義

信息平安風(fēng)險管理是信息平安保障工作中的一項根底性工作。〔1〕信息平安風(fēng)險管理表達在信息平安保障體系的技術(shù)、組織和管理等方面?!?〕信息平安風(fēng)險管理貫穿信息系統(tǒng)生命周期的全部過程?!?〕信息平安風(fēng)險管理依據(jù)等級保護的思想和適度平安的原那么,平衡本錢與效益,合理部署和利用信息平安的信任體系、監(jiān)控體系和應(yīng)急處理等重要的根底設(shè)施,確定適宜的平安措施,從而確保機構(gòu)具有完成其使命的信息平安保障能力。19信息平安風(fēng)險管理的范圍和對象20風(fēng)險管理的內(nèi)容和過程

21三維結(jié)構(gòu)關(guān)系

22四、風(fēng)險評估試點工作情況介紹

1、整體工作介紹2、專家組的工作安排3、規(guī)劃與設(shè)計階段風(fēng)險評估實施細那么231、整體工作介紹

在前述工作的根底上,為制定<<關(guān)于開展信息平安風(fēng)險評估工作的意見>>提供實踐依據(jù),以及在實踐中進一步修改完善兩項國家標(biāo)準(zhǔn),國信辦聯(lián)合有關(guān)部門和地方在2005年對銀行、稅務(wù)、電力、國家電子政務(wù)外網(wǎng)等重要信息系統(tǒng)和關(guān)鍵根底設(shè)施以及北京市、上海市、黑龍江省、云南省等地方的電子政務(wù)系統(tǒng)啟動了風(fēng)險評估試點工作。24

試點工作分為準(zhǔn)備階段、實施階段和總結(jié)階段,工作時間為8個月。各試點單位將依據(jù)<<信息平安風(fēng)險評估指南>>和<<信息平安風(fēng)險管理指南>>,結(jié)合自身的具體情況,選擇相應(yīng)的風(fēng)險評估方法和適當(dāng)?shù)墓ぞ撸贫L(fēng)險評估實施方案,并在評估實踐中進一步檢驗標(biāo)準(zhǔn)的完備性和適用性,同時摸索國家進一步開展風(fēng)險評估工作的實踐經(jīng)驗。試點工作中還將檢驗自評估、檢查評估等不同信息平安風(fēng)險評估工作模式的實踐效果,為國家信息平安主管部門制定信息平安管理政策提供客觀依據(jù);了解和掌握被評估的信息系統(tǒng)的平安風(fēng)險狀況,為信息系統(tǒng)的使用管理部門制定平安策略、采取平安措施提供決策建議。252、專家組的工作安排

為了完成兩項國標(biāo)的修改與完善工作,在國信辦原有的風(fēng)險評估課題組的根底上,成立了國信辦風(fēng)險評估試點工作專家組,其主要任務(wù)為:在準(zhǔn)備階段組織八個試點單位的相關(guān)人員進行培訓(xùn),明確風(fēng)險評估流程和風(fēng)險評估準(zhǔn)備階段的任務(wù),協(xié)助試點單位制定其風(fēng)險評估實施方案。在實施階段到各試點單位調(diào)研,選擇重點行業(yè)的單位進行階段性的蹲點,廣泛調(diào)研其試點方案實施情況,了解各單位在試點過程中對評估及管理的流程、方法、工具和手段的使用存在的問題,不斷充實和完善標(biāo)準(zhǔn)。

262、專家組的工作安排

在總結(jié)階段將匯總各試點單位的試點工作情況,完善準(zhǔn)的修改意見。在各試點單位正式總結(jié)之前,召開評審會為國信辦試點工作總結(jié)提供根底素材。充實和完善?信息平安風(fēng)險評估指南?和?信息安全風(fēng)險管理指南?,通過試點工作提出兩個標(biāo)準(zhǔn)的修改意見,根據(jù)國信辦領(lǐng)導(dǎo)的指示,兩項國標(biāo)將經(jīng)過試點工作的完善與修改,于2005年年底完成并正式報為國標(biāo)。同時與標(biāo)準(zhǔn)相關(guān)的配套理論、方法和標(biāo)準(zhǔn)的研究目前正在進行之中。

此外,專家組還將協(xié)助風(fēng)險評估試點工作領(lǐng)導(dǎo)小組制定?關(guān)于開展信息平安風(fēng)險評估工作的意見?

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論