信息安全风险评估国家标准编制及内容介绍
国家标准 信息安全风险评估规范
中华人民共和国国家标准 ICS 35.040 L 80GB/T 20984—2007信息安全技术信息安全风险评估规范Information security technology —Risk assessment specification for information security2007-06-14发布 2007-11-01实施GB/T 20984—2007目次前言 (II)引言 (III)1范围 (1)2规范性引用文件 (1)3术语和定义 (1)4风险评估框架及流程 (3)4.1风险要素关系 (3)4.2风险分析原理 (4)4.3实施流程 (4)5风险评估实施 (5)5.1风险评估准备 (5)5.2资产识别 (7)5.3威胁识别 (9)5.4脆弱性识别 (11)5.5已有安全措施确认 (12)5.6风险分析 (12)5.7风险评估文档记录 (14)6信息系统生命周期各阶段的风险评估 (15)6.1信息系统生命周期概述 (15)6.2规划阶段的风险评估 (15)6.3设计阶段的风险评估 (15)6.4实施阶段的风险评估 (16)6.5运行维护阶段的风险评估 (16)6.6废弃阶段的风险评估 (17)7风险评估的工作形式 (17)7.1概述 (17)7.2自评估 (17)7.3检查评估 (17)附录A (资料性附录)风险的计算方法 (19)A.1 使用矩阵法计算风险 (19)A.2 使用相乘法计算风险 (22)附录B (资料性附录)风险评估的工具 (26)B.1 风险评估与管理工具 (26)B.2 系统基础平台风险评估工具 (27)B.3 风险评估辅助工具 (27)参考文献 (28)IGB/T 20984—2007前言(略)IIGB/T 20984—2007引言随着政府部门、金融机构、企事业单位、商业组织等对信息系统依赖程度的日益增强,信息安全问题受到普遍关注。
运用风险评估去识别安全风险,解决信息安全问题得到了广泛的认识和应用。
信息安全技术数据出境安全评价指引-编制说明-全国信息安全
《信息安全技术数据出境安全评估指南》编制说明一、任务来源《信息安全技术数据出境安全评估指南》是国家标准化管理委员会批准的信息安全国家标准制定项目,国标计划号为XXX。
本标准为自主制定标准,牵头单位为上海华东电信研究院,参与标准申请单位有工业和信息化部电信研究院、公安部第一研究所、阿里巴巴(北京)软件服务有限公司、北京大学互联网发展研究中心、中国电子技术标准化研究院、中国电子信息产业发展研究院、国家信息技术安全研究中心、深圳市腾讯计算机系统有限公司、阿里云计算有限公司、蚂蚁金服、国信优易数据有限公司等11家单位,归口单位为全国信息安全标准化技术委员会(简称信安标委)。
二、项目的目的与意义数据出境安全评估指南是针对网络运营者开展个人信息和重要数据出境安全自评估,以及国家网信部门、行业主管部门组织开展的个人信息和重要数据出境安全评估的规范指引,指南旨在提供个人信息和重要数据出境的安全评估的流程、要点和方法,指导网络运营者开展数据出境安全评估工作,为国家相关政策法律的落地实施奠定基础,有助于促进数据出境安全评估有序开展,维护国家安全、经济发展,保障社会公共利益、个人隐私安全。
数据出境安全评估指南可以帮助数据出境各方参与主体:●明确数据出境安全评估管理流程●建立数据出境安全风险评估模型●衡量数据出境活动风险程度●判定网络运营者是否可以开展数据出境活动三、主要工作过程《数据出境安全评估指南》国家标准制定项目:(一)立项准备阶段1、2017年1月19日,标准牵头单位组织召开第一次研讨会,明确标准基本定位,研讨完善标准框架;2、2017年2月21日,标准牵头单位组织召开第二次研讨会,明确标准主要研究内容及要求;3、2017年3月,标准牵头单位组织召开第三次研讨会,进一步明确企业需求,深入了解典型企业数据出境场景;4、2017年4月,立项在大数据安全特别工作组获得通过;(二)编制起草阶段1、2017年5月10日,标准编制组召开第一次封闭研讨会,并对标准草案进行修改完善;2、2017年5月25日、26日,标准编制组召开第二次封闭研讨会,并对标准草案进行修改完善;3、2017年6月19日、20日,标准编制组召开第三次封闭研讨会,并对标准草案进行修改完善;4、2017年6月27日,召开专家评审会,收集到对标准草案的修改完善的意见;5、2017年6月28日,召开大数据安全特别工作组会议,同意根据会议意见,对标准文稿修改后,作为征求意见稿提交;6、2017年7月3日、4日,标准编制组召开第四次封闭研讨会,并对标准草案进行修改完善,形成了《信息安全技术数据出境安全评估指南》的征求意见稿。
《信息系统安全集成服务资质认证评价要求》 编制说明
《信息系统安全集成服务资质认证评价要求》编制说明一、工作简况《信息系统安全集成服务资质认证评价要求》行业标准制定项目是中国认证认可行业标准化技术委员会2013年度的标准制修订项目。
该项目由中国信息安全认证中心承担。
截止到2011年底,国内外尚未形成安全集成服务相关标准。
ISO/IEC 21827:2008 ISO/IEC 21827:2008《Information technology —Security techniques —Systems Security Engineering —Capability Maturity Model® (SSE-CMM®)》与国家标准GB/T 20261-2006《信息技术系统安全工程能力成熟度模型》是针对信息安全工程的,其中安全工程过程包括了风险评估、安全工程与安全保证三个方面内容,以及安全工程的能力成熟度模型,未涉及认证评价的内容,所以该标准不能完全满足信息安全服务资质认证工作的需要。
鉴于现状,我们征集了信息安全业界专家的意见,专家一致提议安全集成服务资质认证标准可参考ISO/IEC 21827:2008中的安全工程与安全保证部分的内容。
结合我中心已开展的信息安全风险评估与应急处理服务资质认证的标准,将安全集成服务资质分为三级,其中一级最高,三级最低,最终制定一套符合我国信息安全服务现状的认证实施规则,依据该规则指导安全集成服务资质认证工作。
为了规范信息系统安全集成(以下简称安全集成)服务市场,提升安全集成服务质量,我中心于2012年初,依据ISCCC-SV-003《信息系统安全集成服务资质认证实施规则》开展了安全集成服务资质认证业务。
该实施规则得到了申请方的一致认可。
该项标准是在中国信息安全认证中心ISCCC-SV-003《信息系统安全集成服务资质认证实施规则》的基础上,经编写小组多次讨论和征求意见后制定,形成了目前的标准草案稿。
国家标准信息安全技术ICT供应链安全风险管理指引草案编制
国家标准《信息安全技术ICT供应链安全风险管理指南》(草案)编制说明一、工作简况1.1任务来源本项目为2012年的标准编制项目,名为“信息安全技术 ICT供应链安全风险管理指南”(以下简称《供应链指南》),计划号为20120528-T-469。
该标准规定了ICT供应链安全风险管理的过程和控制措施。
本项目由中国电子技术标准化研究院负责具体实施,参与起草单位包括中国科学院软件研究所、华为技术有限公司、联想(北京)有限公司、浙江蚂蚁小微金融服务集团股份有限公司、阿里巴巴(北京)软件服务有限公司、北京京东叁佰陆拾度电子商务有限公司、中国信息通信研究院、浪潮电子信息产业股份有限公司、微软(中国)有限公司、国家信息技术安全研究中心、英特尔(中国)有限公司、阿里云计算有限公司、中国信息安全认证中心、清华同方计算机有限公司、中国科学院信息工程研究所信息安全国家重点实验室。
1.2主要工作过程1. 2012年3月,成立标准编制组考虑到信息通信技术产品和服务的产业现状,标准编制组广泛吸收了国内的研究机构、第三方测评机构、信息通信技术企业参与到标准研制工作,同时按照相关程序,接受了部分国外企业作为观察成员,参与标准研制过程。
2. 2012年4月至2013年6月,调研国内外供应链安全标准现状研究现有国内外供应链安全相关标准,分析各自特点,学习借鉴,主要包括:1)《供应链风险管理指南》(GB/T 24420)2)《信息技术安全技术信息安全风险管理》(GB/T 31722,即ISO/IEC 27005)3)《信息安全技术信息安全风险管理指南》(GB/Z 24364)4)《信息安全技术信息安全风险评估规范》(GB/T 20984)5)《信息安全技术信息安全风险评估实施指南》(GB/T 31509)6)《信息技术安全技术信息安全管理实用规则》(GB/T 22081,即ISO/IEC27002)7)《信息安全技术云计算服务安全能力要求》(GB/T 31168)8)《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239)9)《信息安全技术政府部门信息安全管理基本要求》(GB/T 29245)10)《信息安全技术信息技术产品供应方行为安全准则》(GB/T 32921)11)《Information technology - Security techniques - Code of practice for Information security controls》(ISO/IEC 27002) 12)《Information technology - Security techniques - Information security for supplier relationships》(ISO/IEC 27036)13)《Systems and software engineering - Systems and software assurance》(ISO/IEC 15026)14)《Information Technology - Open Trusted Technology Provider TM Standard(O-TTPS) - Mitigating maliciously tainted and counterfeit products》(ISO/IEC 22043)15)《Supply Chain Risk Management Practices for Federal Information Systems and Organizations》(NIST SP 800-161)16)《Security and Privacy Controls for Federal Information Systems and Organizations》(NIST SP 800-53)3. 2013年7-9月,调研国内信息通信技术产品和服务供应链安全需求与产业现状2013年7-9月,与国内外信息通信技术产品和服务厂商、第三方测评机构等代表进行研讨,并到个别厂商和政府机构实地调研情况,了解信息通信技术产品和服务供应链的管理现状与安全需求。
信息安全风险评估试点工作面面观:信息安全风险评估国家标准简述
囝 2 6g;Leabharlann 0 2j 0  ̄1维普资讯
信 息 网 络 安 全
安 全 服 务
弱性 引发 的安全 事 件 ,并 由于 受损 信息 资 产 的重要 性 而对
机 构造 成的影 响 。
( ) 险评 估准 备 1 风
风 险 评 估 的准 备 是 整 个 风险 评 估 过程 有 效 性 的保 证 。 组 织实 施风 险评 估是 一 种 战略性 的考虑 ,其 结 果将 受到 组
几个月来试点单位积累了哪些经验又发现了哪些不足200516日作为一次研讨性质的总结会中国信息安全风险评估现状与展望高峰论坛在京举行与会的专家学者国家基础信息网络和重要信息系统风险评估试点单位的负责人纷纷表示开展信息安全风险评估工作是社会发展和科技进步的必然要求它将为推动我国信息安全保障工作的全面开展进而为保障我国信息化建设的顺利实施产生深远的影响但风险评估作为一种新的理念还需要人们去认同作为一种方法论还需要人们去研究和把握作为一种管理措施还需要主管部门大力推进
试 点 单 位 的 负 责 人 纷 纷 表 示 ,开 展 信 息 安 全 风 险 评 估 工 作 是 社 会 发 展 和 科 技 进 步 的 必 然 要 求 , 它 将 为 推 动 我 国 信 息 安 全 保 障 工 作 的 全 面 开 展 , 进 而 为 保 障 我 国 信 息 化 建 设 的 顺 利 实 施 产 生 深 远 的 影 响 , 但 风 险 评 估 作 为 一 种 新 的 理 念 还 需
( ) 产识 别 2 资 在一个 组织 中, 资产 有多种 表现 形 式 , 同样 的 两个 资产 也 因属于 不 同 的信息 系统 而 重要 性 不 同 ,而 且对 于提 供 多 种 业务 的组织 , 支持 业务 持续 运行 的 系统数 量可 能 更 多。 其 这 时首 先 需 要将 信 息 系统 及 相 关 的 资产 进 行恰 当 的分 类 , 以此为基 础进 行 下一步 的 风险评 估 。 实际 工作 中 , 在 具体 的 资产 分类 方 法可 以根 据 具体 的评 估对 象 和要 求 ,由评 估 者 灵活 把 握 。 对 资产 的 赋值 不 仅要 考虑 资 产 的经 济价 值 ,更 重要 的 是要 考虑 资 产 的安全 状 况对 于 系统或 组 织 的重要 性 ,由资 产 在其三 个 安全 属性 上 的达 成程 度 决定 。 为确保 资 产赋值 时 的一致 性和 准确 性 , 组织 应 建立 资产价 值 的评价 尺 度 , 以 指导 资产 赋值 。 资 产赋值 的过 程也 就 是对 资产 在机 密性 、完 整性 和 可 用性 上 的达成 程 度进 行分 析 ,并 在此 基础 上 得 出综合 结 果 的过程 。 成程 度可 由 安全 属性 缺失 时造成 的影响 来表 示 , 达 这种 影 响可能 造 成某 些 资产 的损 害 以至 危及 信息 系统 ,还 可能 导致 经济 效益 、市 场份 额 、组织形 象 的损 失 。 资 产价值 应 依 据 资产 在机 密性 、完整 性 和可 用性 上 的 赋 值 等级 , 过综 合评 定得 出 。 经 综合 评定 方 法可 以根 据 自身 的特点 , 选择 对资 产机 密性 、 整 性和可 用性 最 为重要 的 一 完 个 属 性 的赋值 等级 作 为 资产 的最 终赋 值结 果 ,也 可 以根 据 资产机 密 性 、完 整性 和可 用 性的 不 同等级 对其 赋 值进 行加 权 计 算得 到 资产 的最 终赋 值结 果 。加 权 方法 可根 据组 织 的 业务特 点 确定 。
国家 信息安全标准
国家信息安全标准
国家信息安全标准是一个非常重要的行业规范和实践参考标准,它是信息安全专家智慧的结晶和安全最佳实践的概括总结。
这些标准是信息安全建设的理论基础和行动指南,由国家标准化管理委员会发布。
国家信息安全标准主要包括信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性等方面的内容。
随着互联网的发展,传统的网络边界不复存在,给未来的互联网应用和业务带来巨大改变,也给信息安全带来了新挑战。
此外,信息安全标准也是一个重要的管理工具,它可以帮助组织机构建立有效的信息安全管理体系,并确保信息资产的安全。
这些标准包括信息安全方针、策略、组织结构、风险管理、法律法规等方面的内容。
总之,国家信息安全标准是一个非常重要的行业规范和实践参考标准,它可以帮助组织机构建立有效的信息安全管理体系,确保信息资产的安全,促进组织机构的发展和业务连续性。
信息安全风险评估规范
信息安全风险评估规范信息安全是当今社会中不可或缺的组成部分,而信息安全风险评估则是确保信息安全的重要环节。
本文将介绍信息安全风险评估的规范,以确保评估的准确性和有效性。
一、背景介绍随着信息技术的快速发展和广泛应用,信息安全问题日益凸显。
为了保护信息系统、网络和数据的完整性、可用性和保密性,信息安全风险评估应运而生。
信息安全风险评估是一种全面、系统评估信息系统及其相关成果的安全风险程度的方法。
二、目的和原则信息安全风险评估的主要目的是帮助组织识别、量化和处理信息安全风险,为信息安全管理和决策提供科学依据。
在进行信息安全风险评估时,应遵循以下原则:1. 全面性原则:评估应考虑所有信息系统组成部分的风险。
2. 可行性原则:评估应基于可行的数据和信息。
3. 风险导向原则:评估应该关注重要风险和脆弱性。
4. 及时性原则:评估应随着信息系统的变化和演化进行更新。
5. 可重复性原则:评估应基于可重复的过程和方法。
三、评估过程信息安全风险评估通常包括以下步骤:1. 确定评估范围:明确评估的目标、范围和评估对象,包括信息系统、网络、数据等。
2. 收集信息:通过调查、采访和检查等方式收集与评估对象相关的信息。
3. 风险识别:通过对系统进行分析和检测,识别潜在风险和脆弱性。
4. 风险分析:评估识别到的风险的潜在影响和可能性。
5. 风险评估:根据风险分析的结果,评估风险的严重性和紧急性。
6. 风险处理:针对评估结果制定风险处理策略和措施。
7. 监控和审计:对已实施的风险处理措施进行监控和审计,并进行反馈和改进。
四、输出结果信息安全风险评估的最终输出应包括以下内容:1. 评估报告:详细阐述评估所得到的风险信息、分析结果和评估结论。
2. 风险等级:对评估结果进行分级,确定不同风险的优先级。
3. 处理建议:根据评估结果提出相应的风险处理措施和建议。
4. 监控计划:制定监控风险处理措施的计划,并明确监控指标和频率。
5. 改进措施:根据评估结果总结经验教训,提出改进信息安全的措施。
国家标准《信息安全风险评估实施指南》
国家标准《信息安全风险评估实施指南》(送审稿)编制说明1、工作简况1.1 任务来源2009年12月,信息安全标准化技术委员会正式下达任务书,将《信息安全风险评估实施指南》作为2010年度的国家标准制定项目,定性为国家推荐性标准,由国家信息中心承担,标准制定任务正式启动。
国家信息安全标准化技术委员会已下拨标准研制经费,并签署任务合同书。
1.2 起草单位和人员组成本项目由国家信息中心负责进行标准的起草,北京信息安全测评中心、国家保密技术研究所、上海市信息安全测评认证中心、沈阳东软系统集成工程有限公司、国和信诚(北京)信息安全有限公司等单位参与起草。
1.3 编制过程(1)标准草案编制阶段标准草案编制工作于2010年1月启动,通过前期准备阶段、提纲编制阶段、任务细化阶段、整合完成阶段,在全面了解我国信息安全风险评估实践状况的基础上,经过反复修改完善,于2010年6月形成《信息安全风险评估实施指南》征求意见稿。
(2)意见征求阶段2010年7月-10月,将《信息安全风险评估实施指南》征求意见稿向专家与一些一线信息安全服务机构(公司)征求意见。
根据各试点单位的反馈意见,标准编制小组组织了两次大规模的修改过程;同时向相关单位以发放了标准文本,征求对标准的意见,根据修改意见进行了修改。
(3)修改完善阶段2010年11月、12月,国家信息中心组织编写组成员对征求来的各意见进行讨论、采纳、修改,并于2011年3月正式形成《信息安全风险评估实施指南》标准草案修改稿。
(4)专家评审阶段2011年3月、6月,国家信息中心委托信安标委聘请专家,对《信息安全风险评估实施指南》标准草案修改稿进行专家评审,收到专家意见多条,并通过了专家评审。
(5)WG7成员单位决议阶段2011年8月5日,安标委WG7组组织全体成员单位对国家信息中心承担的《信息安全风险评估实施指南》标准草案稿进行全体投票决议,最后该标准草案稿高票获得通过,获准向社会公布,以进一步广泛征求社会各界的意见与建议。
信息安全风险评估指南
海军计算技术研究所 公安部信息安全标委会委员 国家信息化咨询委员会 中科院信息安全技术工程研究中心 国家保密技术研究所 公安部十一局 国家信息化咨询委员会
22
与会专家听取了起草小组的编制说明及内容介绍,审阅了 会专家听取了起草小组的编制说明及内容介绍, 相关文档资料,经质询和讨论,一致认为: 相关文档资料,经质询和讨论,一致认为:
13
整个试点工作历时7个月,各试点单位对标准草案 个试点工作历时7个月,
先后提出40 多条补充修改意见,标准起草组根据试点结果 先后提出 多条补充修改意见,标准起草组根据试点结果 先后进行了三次较大规模的修改.主要内容包括: 先后进行了三次较大规模的修改.主要内容包括: --细化了资产的分类方法,脆弱性的识别要求,修 细化了资产的分类方法, 细化了资产的分类方法 脆弱性的识别要求, 改并细化了风险计算的方法; 改并细化了风险计算的方法; --对自评估,检查评估不同评估形式的内容与实施 对自评估, 对自评估 的重点进行了区分; 的重点进行了区分; --对风险评估的工具进行了梳理和区分,形成了现 对风险评估的工具进行了梳理和区分, 对风险评估的工具进行了梳理和区分 在的几种类型; 在的几种类型; --细化了生命周期不同阶段风险评估的主要内容. 细化了生命周期不同阶段风险评估的主要内容. 细化了生命周期不同阶段风险评估的主要内容 试点实践证明,试行标准基本满足各试点单位评估工 试点实践证明, 作的需求. 作的需求.
送审稿规范了风险评估的评估内容与范围,基本概念, 一,送审稿规范了风险评估的评估内容与范围,基本概念,明确 了资产,威胁, 了资产,威胁,脆弱性和安全风险等关键要素及其赋值原则和 要求,提出了实施流程与操作步骤,评估规则与基本方法, 要求,提出了实施流程与操作步骤,评估规则与基本方法,并 充分考虑与信息安全等级保护相关标准相衔接. 充分考虑与信息安全等级保护相关标准相衔接. 送审稿的操作性较强,对开展风险评估工作具有指导作用, 二,送审稿的操作性较强,对开展风险评估工作具有指导作用, 并在国务院信息办组织的风险评估试点中得到了进一步的实践 验证和充实完善. 验证和充实完善. 文本的编制符合国家标准GB1.1的要求. GB1.1的要求 三,文本的编制符合国家标准GB1.1的要求. 专家组认为送审稿达到国家标准送审稿的要求, 专家组认为送审稿达到国家标准送审稿的要求,同意通过评 建议起草组根据专家意见尽快修改完善后申报. 审.建议起草组根据专家意见尽快修改完善后申报.
信息安全风险评估国家标准编制及内容介绍
中国工程院 国务院信息办 国家发改委高科技司
姚世权
贾颖禾 崔书昆 景乾元 李建彬 张宏伟 姚丽旋 肖京华 冯惠 吴伟
中国标准化协会
全国信息安全标准化技术委员会 国家信息化专家咨询委员会 公安部十一局 国税总局信息中心 黑龙江省信息产业厅 上海市信息化管理委员会 总参三部三局 中国电子技术标准化研究所 国家电网公司
32
二、标准的主要内容
1、什么是风险评估 2、为什么要做风险评估 3、风险评估怎么做
33
2、为什么要做风险评估
安全源于风险。
在信息化建设中,建设与运营的网络与信息系统由于可能 存在的系统设计缺陷、隐含于软硬件设备的缺陷、系统集成时 带来的缺陷,以及可能存在的某些管理薄弱环节,尤其当网络 与信息系统中拥有极为重要的信息资产时,都将使得面临复杂 环境的网络与信息系统潜在着若干不同程度的安全风险。
26
2006年7月19日, 全国信息安全标准化委员
会主任办公会上讨论通过了《信息安全技术 信息安全风 险评估规范》(报批稿),目前已进入报批程序。
27
主要内容
一、标准的编制过程 二、标准的主要内容 三、下一步工作的几点思考
28
二、标准的主要内容
1、什么是风险评估 2、为什么要做风险评估 3、风险评估怎么做
9
1 、符合我国现行的信息安全有关法律法规的要求, 认真贯彻落实27号文件关于加强信息安全风险评估工作的 精神; 2 、立足于我国信息化建设实践,积极借鉴国际先进 标准的技术,提出符合我国基础网络和重要信息系统工程 建设需求的风险评估规范; 3 、针对网络与信息系统的全生命周期,制订适应不 同阶段特点和要求的风险评估实施方法; 4 、积极吸收信息安全有关主管部门和单位在等级保 护、保密检查和产品测评等工作的经验与成果; 5 、标准文本体系结构科学合理,表述清晰,具有可 实现性和可操作性。
信息安全风险评估 国家首次明确电子政务项目风险评估要求
评 估 报 告 格 式 》 并且 也 可 咨 询 相 关 信 息
,
接 的方 式
明确 了我 国 电子 政 务工 程 建
条 对 电 子 政 务 项 目的 定 义 是
电子 政 务 网 络
、
、
:
国家统
安全风 险 评估 机 构
。
那么
,
都 有哪 些 机
设 项 目的信息安 全 风 险 评 估 工 作 的具 体 要求
子 政 务 项 目不 清 楚
。
部 门 和 参 与 国家电子 政 务 项 目建设 的 地 方
政 务部 门
。
理 规 定 》 《 及 国家秘 密的信 息系统 分 涉
、
可 以 参考 《 家 电子 国
已
级 保 护 测 评 指 南 》等 国 家有 关 保 密 规
政 务 工 程 建 设 项 目 管理 暂 行 办 法 》 国 家 (
具 体 都解 决了 哪 些 问题 呢 ? 下
一 一
国 家 电 子 政 务 标 准 化 体 系和 电子 政 务 相 关
问
:
国 家 电子 政 务 的 涉 密 和 非 涉 密 信 息
面 我们 以 问答和 评论 的方 式 向大 家
支撑 体 系等建设 项 目
。
电 子 政 务 项 目建 设
,
系统 的信 息安 全 风 险 评 估 的标 准 及 要 求
员会
、
公 安部 和 国家保 密局 联 合发布 了
条
,
关于
项 目建设 单 位 或 其 委 托 的 专业
,
内容 包 括 : 分 析信 息 系统 资产 的重 要 程 度
,
《 于 加 强 国 家 电子 政 务工 程 建 设 项 目 关 信 息安 全 风 险 评 估 工 作 的 通 知 》( 发 改
信息安全风险评估标准介绍
试点工作分为准备阶段、实施阶段和总结阶段,工作 时间为8个月.各试点单位将依据<<信息安全风险评估指 南>>和<<信息安全风险管理指南>>,结合自身的具体情 况,选择相应的风险评估方法和适当的工具,制定风险评估 实施方案,并在评估实践中进一步检验标准的完备性和适 用性,同时摸索国家进一步开展风险评估工作的实践经验. 试点工作中还将检验自评估、检查评估等不同信息安全风 险评估工作模式的实践效果,为国家信息安全主管部门制 定信息安全管理政策提供客观依据;了解和掌握被评估的 信息系统的安全风险状况,为信息系统的使用管理部门制 定安全策略、采取安全措施提供决策建议.
29
五、下一步的工作考虑
30
谢谢
31
18
信息安全风险管理的目的和意义
信息安全风险管理是信息安全保障工作中的一 项基础性工作 .
(1)信息安全风险管理体现在信息安全保障体系 的技术、组织和管理等方面.
(2)信息安全风险管理贯穿信息系统生命周期的 全部过程.
(3)信息安全风险管理依据等级保护的思想和适 度安全的原则,平衡成本与效益,合理部署和利用信息 安全的信任体系、监控体系和应急处理等重要的基础 设施,确定合适的安全措施,从而确保机构具有完成其 使命的信息安全保障能力.
5
标准编制原则
(1)立足于我国当前信息化建设现状,对我国信息安全 风险评估方法进行总结、归纳、简化与提升,注重吸纳国 外相关领域的先进成果并为我所用,使其本土化.
(2)可操作性和实用性.标准是对实际工作的总结与提 升,但最终还要用于实践,要经得起实践的检验.因此要可用 ,可操作.
(3)注重吸收主管部门在评估方面已有的经验与成果. 如等级保护、保密检查和产品测评等.
国家信息安全标准体系
标准及标准化有关概念
标准是“为在一定的范围内获得最佳秩序,对活动 或其结果规定共同的和重复使用的规则、指导原则 或特性的文件。该文件经协商一致定并经一个公认 机构的批准”。“标准应以科学、技术和经验的综合 成果为基础,并以促进最大社会效益为目的”。
标准及标准化有关概念
对“标准”的定义可从三个主要方面去理解: 1、标准是对某一对象(称之为标准化对象)进 行统一描述的一种特殊文件。 2、标准是实现系统功能的工具之一,制定标准 的目的是为了满足人类社会的某种需求,取得最 佳经济效益和社会效益。 3、标准产生有自身的规律:
标准化是一门系统工程
(三)信息安全标准化 信息安全标准化是诸多标准化领域中一个新生的 标准化领域,它具备一般标准化领域的特征,同 时又有自身的特征,因为信息安全兼具社会科学、 自然科学以及其他许多相关学科的特征。这方面 在学术界还缺乏深入研究。
标准体系的基本概念
按照GB3935.1《标准基本术语第一部分》中定义, 标准体系就是“一定范围内标准按其内在联系形成的科学 的有机整体”
在总结各工作 组对本领域标 准体系研究成 果的基础上形 成的
对我国现有信息安全标准进 行归类和整理,在分析国际 信息安全标准的发展动态和 国内信息安全标准需求的基 础上,提出标准体系框架和 标准体系表
一种通用标准系统的体系结构
国际标准
区域标准 专业(部) 标准
地方标准 企业标准
级 别 维 基方工 产 础法作 品 标标标 标 准 准 准 准 对象维
密 信 息 消
射
技
要
除
防
术
求
和
护
要
和
介
和
求
测
质
其 它 技 术 标 准
信息安全标准简介
信息安全标准简介信息安全在二十世纪九十年代步入了标准化与系统化的时代,国际上众多组织和国家根据以往的信息安全管理经验制定了一系列的信息安全标准。
本节对在信息安全领域有重大影响的标准予以介绍。
1.信息安全管理指南ISO组织从上个世纪九十年代初逐步开发出了信息安全管理指南系列标准(标准号:ISO/IEC TR 13335)。
当前,信息安全管理指南包含了五个标准:1)ISO/IEC TR 13335-1:信息安全概念与模型ISO/IEC TR 13335-1主要定义和描述了信息安全管理的基本概念,确立了常规意义上信息管理和信息安全管理之间的关系,提出了信息安全管理通用指南,并阐述了几个用于解释信息安全的模型。
相较于ISO/IEC 17799中对信息安全的定义,ISO/IEC TR 13335-1对信息安全的定义进行了扩充,引入了责任性、真实性、可靠性和不可否认性的定义。
ISO/IEC TR 13335-1中的另一个重要内容是对风险管理的模型和风险管理的内容进行了定义,这已成为当前信息安全工作的基石。
2)ISO/IEC TR 13335-2:信息安全管理与计划ISO/IEC TR 13335-2中对信息安全管理的过程和内容,以及这些内容间的相互关系进行了阐述。
这一标准将信息安全管理的重点引到了风险管理过程中,使得信息安全管理成为主要围绕风险管理展开的企业管理活动。
并且,ISO/IEC TR 13335-2中提出了风险管理的基本方法。
有关信息安全管理方法的内容参见1.1.3节中的介绍。
3)ISO/IEC TR 13335-3:信息安全技术管理ISO/IEC TR 13335-3对与信息安全技术相关的管理活动进行了详细的阐述,从策略的制定、风险管理到安全计划与执行都进行了说明,并且提出了详细的信息安全管理过程,使得信息安全管理成为一个动态和循环的过程,参见图三。
需要指出的是,ISO/IEC TR 13335-3中对风险管理的过程和步骤进行了详细的阐述,根据风险要素间的相互关系对评估的方法、实践提出了具体的要求和参考意见。
信息安全技术 个人信息安全影响评估指南-编制说明
国家标准《信息安全技术个人信息安全影响评估指南》(征求意见稿)编制说明一、工作简况1.1任务来源GB/T 35273《信息安全技术个人信息安全规范》标准一经发布就得到了广泛应用,其中,《个人信息安全规范》标准强调展开个人信息安全影响影响评估工作,旨在发现、处置和持续监控个人信息处理过程中的安全风险。
2017年3月,在信安标委会议周,云计算及大数据特别工作组讨论会议上,一致同意编制《个人信息安全影响评估指南》。
本标准为自主制定标准,标准任务编号为:20180840-T-469。
1.2主要起草单位和工作组成员标准由颐信科技有限公司牵头,中国电子技术标准化研究院、四川大学、深圳市腾讯计算机系统有限公司、华为技术有限公司、全知科技(杭州)有限责任公司、北京腾云天下科技有限公司、国家金融IC卡安全检测中心、强韵数据科技有限公司、中国信息通信研究院、北京信息安全测评中心、联想(北京)有限公司、清华大学、阿里巴巴(北京)软件服务有限公司、中国软件评测中心、浙江蚂蚁小微金融服务集团股份有限公司、陕西省网络与信息安全测评中心等参与编制,归口单位为全国信息安全标准化技术委员会(简称信息安全标委会,TC260)。
本标准主要起草人:洪延青、何延哲、胡影、高强裔、陈湉、赵冉冉、刘贤刚、皮山杉、黄劲、葛梦莹、范为、宁华、葛鑫、周顿科、高磊、李汝鑫、秦颂、兰晓、陈舒、陈兴蜀、金涛、秦博阳、高志民、顾伟、白利芳、白晓媛、张谦、王伟光、贾雪飞、冯坚坚、朱信铭、王艳红、李怡等。
1.3 主要工作过程1、2017年3月,在云计算及大数据特别工作组讨论会议上,一致同意编制《个人信息安全影响评估指南》,对个人信息安全影响评估方法、应用、政策和标准进行调研分析,确定标准化需求。
2、2017年5月初,成立正式的个人信息安全影响评估指南标准编制组,标准由颐信科技有限公司牵头,中国电子技术标准化研究院、深圳市腾讯计算机系统有限公司、华为技术有限公司、全知科技有限公司、北京信息安全测评中心、四川大学网络空间安全研究院、中国信息通信研究院、阿里巴巴(北京)软件服务有限公司、蚂蚁金服公司、陕西信息安全测评中心等组成标准编制组。
信息安全风险评估基本步骤
前言:前言:本文主要介绍的是关于《信息安全风险评估基本步骤》的文章,文章是由本店铺通过查阅资料,经过精心整理撰写而成。
文章的内容不一定符合大家的期望需求,还请各位根据自己的需求进行下载。
本文档下载后可以根据自己的实际情况进行任意改写,从而已达到各位的需求。
愿本篇《信息安全风险评估基本步骤》能真实确切的帮助各位。
本店铺将会继续努力、改进、创新,给大家提供更加优质符合大家需求的文档。
感谢支持!正文:就一般而言我们的信息安全风险评估基本步骤具有以下内容:信息安全风险评估基本步骤一、引言在信息化高速发展的今天,信息安全风险评估已成为组织和个人保障信息安全的重要手段。
通过科学、系统的风险评估,我们可以及时识别潜在的信息安全风险,并采取有效措施进行防范和应对。
本文将详细介绍信息安全风险评估的基本步骤,帮助读者更好地理解和实施风险评估工作。
二、信息安全风险评估基本步骤确定评估目标和范围在开始风险评估之前,首先需要明确评估的目标和范围。
评估目标通常包括识别潜在的信息安全风险、评估风险的可能性和影响程度、提出风险应对措施等。
评估范围则是指定需要评估的信息系统、网络、应用程序、数据等具体对象。
收集信息收集与评估对象相关的信息是风险评估的基础。
这些信息可能包括系统架构、网络拓扑、安全策略、人员配置、历史安全事件等。
通过收集这些信息,可以对评估对象有一个全面的了解,为后续的风险识别和分析提供依据。
识别风险在收集到足够的信息后,需要对评估对象进行风险识别。
风险识别是指通过分析系统、网络、应用程序等存在的安全漏洞、威胁和脆弱性,识别出可能导致信息安全事件的风险因素。
这个过程需要综合运用安全知识、经验和技术手段,确保识别的风险全面、准确。
评估风险识别出风险后,需要对这些风险进行评估。
评估的目的是确定风险的可能性和影响程度,以便对风险进行优先级排序和制定应对措施。
评估方法可以采用定性分析、定量分析或两者结合的方式,根据评估结果给出风险等级和风险描述。
信息安全技术数据出境安全评价指引-编制说明-全国信息安全
《信息安全技术数据出境安全评估指南》编制说明一、任务来源《信息安全技术数据出境安全评估指南》是国家标准化管理委员会批准的信息安全国家标准制定项目,国标计划号为XXX。
本标准为自主制定标准,牵头单位为上海华东电信研究院,参与标准申请单位有工业和信息化部电信研究院、公安部第一研究所、阿里巴巴(北京)软件服务有限公司、北京大学互联网发展研究中心、中国电子技术标准化研究院、中国电子信息产业发展研究院、国家信息技术安全研究中心、深圳市腾讯计算机系统有限公司、阿里云计算有限公司、蚂蚁金服、国信优易数据有限公司等11家单位,归口单位为全国信息安全标准化技术委员会(简称信安标委)。
二、项目的目的与意义数据出境安全评估指南是针对网络运营者开展个人信息和重要数据出境安全自评估,以及国家网信部门、行业主管部门组织开展的个人信息和重要数据出境安全评估的规范指引,指南旨在提供个人信息和重要数据出境的安全评估的流程、要点和方法,指导网络运营者开展数据出境安全评估工作,为国家相关政策法律的落地实施奠定基础,有助于促进数据出境安全评估有序开展,维护国家安全、经济发展,保障社会公共利益、个人隐私安全。
数据出境安全评估指南可以帮助数据出境各方参与主体:●明确数据出境安全评估管理流程●建立数据出境安全风险评估模型●衡量数据出境活动风险程度●判定网络运营者是否可以开展数据出境活动三、主要工作过程《数据出境安全评估指南》国家标准制定项目:(一)立项准备阶段1、2017年1月19日,标准牵头单位组织召开第一次研讨会,明确标准基本定位,研讨完善标准框架;2、2017年2月21日,标准牵头单位组织召开第二次研讨会,明确标准主要研究内容及要求;3、2017年3月,标准牵头单位组织召开第三次研讨会,进一步明确企业需求,深入了解典型企业数据出境场景;4、2017年4月,立项在大数据安全特别工作组获得通过;(二)编制起草阶段1、2017年5月10日,标准编制组召开第一次封闭研讨会,并对标准草案进行修改完善;2、2017年5月25日、26日,标准编制组召开第二次封闭研讨会,并对标准草案进行修改完善;3、2017年6月19日、20日,标准编制组召开第三次封闭研讨会,并对标准草案进行修改完善;4、2017年6月27日,召开专家评审会,收集到对标准草案的修改完善的意见;5、2017年6月28日,召开大数据安全特别工作组会议,同意根据会议意见,对标准文稿修改后,作为征求意见稿提交;6、2017年7月3日、4日,标准编制组召开第四次封闭研讨会,并对标准草案进行修改完善,形成了《信息安全技术数据出境安全评估指南》的征求意见稿。
信息安全风险评估管理相关国家标准介绍
信息安全风险评估/管理相关国家标准介绍作者:谢宗晓刘立科来源:《中国标准导报》2016年第05期“十二五”国家重点图书出版规划项目《信息安全管理体系丛书》执行主编。
自2003年起,从事信息安全风险评估与信息安全管理体系的咨询与培训工作。
目前,已发表论文42篇,出版专著12本。
信息安全管理系列之十六无论是信息安全管理体系(ISMS),还是信息系统安全等级保护,几乎所有的信息安全管理最佳实践都以风险管理为基础。
信息安全风险评估/管理实践往往依据一系列的标准,下文中对与信息安全风险评估/管理相关的国家标准做了大致的介绍。
谢宗晓(特约编辑)摘要:本文介绍了信息安全风险评估/管理的相关标准,其中包括:(1)GB/T 20984—2007《信息安全技术信息安全风险评估规范》;(2)GB/Z 24364—2009《信息安全技术信息安全风险管理指南》;(3)GB/T 31509—2015《信息安全技术信息安全风险评估实施指南》;(4)GB/T 31722—2015 / ISO/IEC 27005:2008《信息安全技术信息安全风险管理》;(5)《信息安全技术信息安全风险处理实施指南》(征求意见稿)。
关键词:信息安全风险评估风险管理风险应对Abstract: In this paper, we introduce standards related to risk assessment / management,including:(1)GB/T 20984—2007 Information security technology—Risk assessment specification for information security;(2) GB/Z 24364—2009 Information security technology—Guidelines for information security risk management;(3) GB/T 31509—2015 Information security technology—Guide of implementation for information security risk assessment;(4)GB/T 31722—2015 / ISO/IEC 27005: 2008 Information technology—Security techniques—Information security risk management;(5) Information security technology—Guide of implementation for information security risk treatment.Key words: information security, risk assessment, risk management, risk treatment截至2015年12月,我国已经发布的信息安全风险评估/管理的相关国家标准如表1所示。
信息安全风险评估国家标准编制与内容
信息安全风险评估国家标准编制与内容信息安全风险评估国家标准的编制是一个复杂而系统的过程。
首先,需要组织一支专业的团队,该团队应包括信息安全专家、风险管理专家和相关领域的专业人员。
然后,团队需要进行详细的研究和分析,以了解并评估组织可能面临的各种信息安全风险。
这些风险可以包括外部黑客攻击、内部数据泄露、硬件故障或自然灾害等。
在确定风险之后,团队将制定一系列安全控制措施,以降低或消除这些风险。
这些措施可能包括提供培训和教育,加强物理安全措施,加强访问控制,实施数据备份和恢复策略等。
此外,团队还需要制定一套明确的程序和指南,以确保风险评估的一致性和有效性。
信息安全风险评估国家标准的内容通常包括以下几个方面。
首先是定义信息安全风险评估的目的和范围。
这将确保评估的重点和目标清晰明确。
其次,国家标准应明确定义信息安全风险评估的步骤和方法。
这包括收集和分析数据的方法、评估风险的方法和风险控制的方法。
此外,国家标准还应规定信息安全风险评估的报告要求。
报告应包括对发现的风险的详细描述,对风险的评估和优先级排序,以及推荐的风险控制措施。
报告还应提供适当的技术和管理建议,以帮助组织实施风险控制措施。
最后,信息安全风险评估国家标准还应规定评估结果的监督和审查机制。
这将确保评估过程的透明性和可靠性,并确保评估结果得到持续的监测和改进。
在市场竞争日益激烈的背景下,信息安全风险评估国家标准的制定和实施对于保护组织的信息资产和业务连续性至关重要。
只有确保信息安全风险评估的一致性和有效性,组织才能及时发现和应对潜在的安全风险,减少损失并保护其声誉。
因此,这些国家标准的编制和内容至关重要,对于国家和组织的信息安全发展都具有重要意义。
信息安全风险评估国家标准的制定不仅仅是一项技术任务,更是一种国家和社会层面的责任。
这些标准的编制和内容需要考虑到各种因素,如技术发展、法律法规、国家安全等,以确保评估能够适应快速变化的威胁环境。
在信息安全风险评估国家标准的制定过程中,需要综合考虑国内外的最佳实践和国际标准。