信息安全风险评估标准介绍
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
<<信息安全风险评估指南>>包括指南文本 和附录两部分。其中指南文本由一个前言和8 章内容组成,分为以下几部分:
1、概述部分; 2、模型与流程部分; 3、实施部分; 4、关联部分。 附录部分由二个附录组成。
2020/7/2
9
风险评估的定义
信息系统的安全风险,是指由于系统存在的脆弱 性,人为或自然的威胁导致安全事件发生所造成的影响。 信息安全风险评估,则是指依据国家有关信息安全技术 标准,对信息系统及由其处理、传输和存储的信息的保 密性、完整性和可用性等安全属性进行科学评价的过程, 它要评估信息系统的脆弱性、信息系统面临的威胁以及 脆弱性被威胁源利用后安全事件发生的可能性,并结合
2020/7/2
18
信息安全风险管理的目的和意义
信息安全风险管理是信息安全保障工作中的一 项基础性工作 。
(1)信息安全风险管理体现在信息安全保障体系 的技术、组织和管理等方面。
(2)信息安全风险管理贯穿信息系统生命周期的 全部过程。
(3)信息安全风险管理依据等级保护的思想和适 度安全的原则,平衡成本与效益,合理部署和利用信 息安全的信任体系、监控体系和应急处理等重要的基 础设施,确定合适的安全措施,从而确保机构具有完 成其使命的信息安全保障能力。
2020/7/2
15
在风险评估指南的文本部分,我们试图给出进行
风险评估的一个路线图(实施流程),以及这个路线图 中包括的若干关键点(关键步骤)和从一个关键点到另 一个关键点的原则。这些也是参与编制工作的人员共同 讨论的结果。这也体现了做为国家标准对于通用规律的 把握。同时,为了避免过程的僵硬,以及体现评估中定 量与定性的结合的特点,对于一些具体的实现细节指南 进行了开放性地处理,放到了附录部分。即在附录中给 出了当前较为常用的风险计算方法与工具以供选择,此 部分将随着技术的发展而不断更新。
21
三维结构关系
Z
信 息 安 全 目 标
沟通与咨询 监控与审查
抗 否
对风风审
认 可 性 追
象险险核 确评控批
究 性 可
用
立估制准
性 完
整
保
性 保
规划
障
密
设计
级
性
实施
别
运维
废弃
信 息 安 全 风 险 管 理
X
Y 信息系统生命周期
2020/7/2
1
汇报内容
一、国家风险评估前期工作概述 二、风险评估标准编制情况介绍 三、风险评估标准内容简介 四、风险评估试点工作情况介绍 五、下一步的工作考虑
2020/7/2
2
一、国家风险评估前期工作概述
为了贯彻落实中办发2003[27]号文件的精神,国信办 委托国家信息中心牵头,会同公安部,保密局,中科院和解放 军等部门组织专家成立了风险评估课题组。课题组的宗旨 是以信息安全风险为切入点,全面了解我国信息安全建设现 状,发现问题并寻找应对措施。课题组在2003年下半年对北 京,上海,广州和深圳四个地区的十几个行业的五十多家企事 单位进行了广泛的调研与走访,完成了我国信息安全风险评 估调查报告,同时,课题组对国内外信息安全风险评估工作进 行了系统的理论梳理,所完成的信息安全风险评估研究报告 做为2004年1月在北京召开全国第一次信息安全保障大会的 传阅文件。在这次大会黄菊同志的讲话中要求大家重视风 险评估工作,并将风险评估列为我国信息安全保障体系建设 要抓的五项基础性工作之一。
28
«电子政务网络规划与设计阶段风险评估项目工作指南» «资产定位方法指南» «确定脆弱性方法指南» «确定威胁方法指南» «电子政务网络规划与设计阶段风险评估实施细则» «电子政务外网规划与设计阶段风险评估实施案例»
2020/7/2
29
五、下一步的工作考虑
2020/7/2
30
谢谢!
2020/7/2
2020/7/2
4
二、风险评估标准编制情况介绍
自任务下达后,国家信息中心组织国内十几家从事过 安全风险评估工作的单位开展了信息安全风险评估标准规 范的制定工作,对当前大家在评估实践工作默认的共同规 范进行归纳、总结、简化与提升。
标准编制工作于2004年3月29日正式启动,整个撰写 工作分为前期准备阶段、提纲编制阶段、任务细化阶段、 整合完成阶段等阶段,历时一年先后完成<<信息安全评估 指南>>与<<信息安全管理指南>>的征求意见稿。
资产的重要程度来识别信息系统的安全风险。
2020/7/2
10
术语及定义
资产 价值 威胁 脆弱性 风险 残余风险 风险评估
可用性 保密性 完整性 业务战略 安全事件 安全需求 安全措施
自评估 检查评估
2020/7/2
11
风险评估要素关系模型
业务战略
依赖
脆弱性
暴露
资产
拥有
资产价值
成本
利用
威胁
增加
风险
2020/7/2
5
标准编制原则
(1)立足于我国当前信息化建设现状,对我国信息安 全风险评估方法进行总结、归纳、简化与提升,注重吸 纳国外相关领域的先进成果并为我所用,使其本土化。
(2)可操作性和实用性。标准是对实际工作的总结与提 升,但最终还要用于实践,要经得起实践的检验。因此 要可用,可操作。
(3)注重吸收主管部门在评估方面已有的经验与成果。 如等级保护、保密检查和产品测评等。
31
(4)科学性与前瞻性。评估标准中要体现科学性。所提 供的方法要可信,要具有引领的作用。
2020/7/2
6
三、风险评估标准内容简介
1、评估指南内容简介 2、管理指南内容简介
2020/7/2
7
三、风险评估标准内容简介
1、评估指南内容简介 2、管理指南内容简介
2020/7/2
8
1、风险评估指南内容简介
2020/7/2
19
信息安全风险管理的范围和对象
信息环境
信息环境
信信 息息 环载 境体
信息载体 信息自身 信息载体
信信 息息 载环 体境
信息环境
信息环境
2020/7/2
20
风险管理的内容和过程
沟通与咨询
对象 确立
沟
通 与 咨
审核 批准
询
监控 与
审查
沟
风险 评估
通 与 咨
询
风险 控制
沟通与咨询
2020/7/2
2020/7/2
3
一、国家风险评估前期工作概述
为了进一步推动信息安全风险评估工作,在2003 年工作基础上,国信办决定2004年继续委托国家信息 中心组织信息安全风险评估课题组下一阶段的工作。
为了将已有工作做深做实,并为下一步国家出台风 险评估指导意见以及进行国家重要信息系统和基础网络 的风险评估试点工作做准备,根据国信办领导的指示, 课题组在2004年上半年启动了风险评估指南和风险管 理指南等标准的编制工作。旨在通过这项工作更好地加 强信息安全风险评估及管理,使其流程更加科学、规范 和有效,从而促进我国信息安全保障体系的建立,进而 推动我国信息化的建设历程。
2020/7/2
22
四、风险评估试点工作情况介绍
1、整体工作介绍 2、专家组的工作安排 3、规划与设计阶段风险评估实施细则
2020/7/2
23
1、整体工作介绍
在前述工作的基础上,为制定<<关于开展 信息安全风险评估工作的意见>>提供实践依据 ,以及在实践中进一步修改完善两项国家标准 ,国信办联合有关部门和地方在2005年对银行 、税务、电力、国家电子政务外网等重要信息 系统和关键基础设施以及北京市、上海市、黑 龙江省、云南省等地方的电子政务系统启动了 风险评估试点工作。
2020/7/2
24
试点工作分为准备阶段、实施阶段和总结阶段,工作 时间为8个月。各试点单位将依据<<信息安全风险评估 指南>>和<<信息安全风险管理指南>>,结合自身的具 体情况,选择相应的风险评估方法和适当的工具,制定 风险评估实施方案,并在评估实践中进一步检验标准的 完备性和适用性,同时摸索国家进一步开展风险评估工 作的实践经验。试点工作中还将检验自评估、检查评估 等不同信息安全风险评估工作模式的实践效果,为国家 信息安全主管部门制定信息安全管理政策提供客观依据 ;了解和掌握被评估的信息系统的安全风险状况,为信 息系统的使用管理部门制定安全策略、采取安全措施提 供决策建议。
2020/7/2
16
三、风险评估标准内容简介
1、评估指南内容简介 2、管理指南内容简介
2020/7/2
17
2、风险管理指南内容简介
<<信息安全风险管理指南>>的文本由一个前言和 14个章节组成,主要包括以下几方面的内容:
1、 信息安全风险管理的目的和意义 2、 信息安全风险管理的范围和对象 3、 信息安全风险管理的角色和责任 4、 信息安全风险管理的内容和过程 5、 风险管理在信息系统生命周期不同阶段的运用
此外,专家组还将协助风险评估试点工作领导小组 制定《关于开展信息安全风险评估工作的意见》。
2020/7/2
27
3、规划与设计阶段风险评估实施细则
标准的项目 化
提出风险评估 项目工作指南
第一阶段
Βιβλιοθήκη Baidu
具体方法的 提出
发现威胁的方法, 发现脆弱性的方法
等
第二阶段
用于政务外 网
实例评估报告
第三阶段
2020/7/2
风险是否接受
否
选择适当的控制措施并评 估残余风险
………………
评估过程文档 评估过程文档
2020/7/2
是否接受残余风险
否
是
实施风险管理
评估结果文档 风险评估结果记录
14
风险评估的形式及角色运用
评估指南根据评估的发起方的不同,将风险评估形式 分为自评估和检查评估两大类。自评估是由被评估信息系 统的拥有者发起的,并依靠自身的力量,对其自身的信息 系统进行的风险评估活动。检查评估则通常是被评估信息 系统的拥有者的上级主管机关或业务主管机关发起的,旨 在依据已经颁布的法规或标准进行的,具有强制意味的检 查活动,是通过行政手段加强信息安全的重要措施。信息 安全风险评估服务机构可为自评估和检查评估提供风险评 估的咨询、培训等服务以及提供风险评估的有关工具和手 段。
2020/7/2
25
2、专家组的工作安排
为了完成两项国标的修改与完善工作,在国信办原有的 风险评估课题组的基础上,成立了国信办风险评估试点工作 专家组,其主要任务为:
在准备阶段组织八个试点单位的相关人员进行培训,明 确风险评估流程和风险评估准备阶段的任务,协助试点单位 制定其风险评估实施方案。
在实施阶段到各试点单位调研,选择重点行业的单位进 行阶段性的蹲点,广泛调研其试点方案实施情况,了解各单 位在试点过程中对评估及管理的流程、方法、工具和手段的 使用存在的问题,不断充实和完善标准。
2020/7/2
26
2、专家组的工作安排
在总结阶段将汇总各试点单位的试点工作情况,完善 准的修改意见。在各试点单位正式总结之前,召开评审 会为国信办试点工作总结提供基础素材。
充实和完善《信息安全风险评估指南》和《信息安 全风险管理指南》,通过试点工作提出两个标准的修改意 见,根据国信办领导的指示,两项国标将经过试点工作 的完善与修改,于2005年年底完成并正式报为国标。同 时与标准相关的配套理论、方法和规范的研究目前正在 进行之中。
导出
安全需求
被满足
演变
残留
安全事件 可能诱发 残余风险 未控制
安全措施
2020/7/2
12
风险计算模型
资产拥有者 威胁来源
威胁 弱点
信息资产 安全事件
安全风险 (风险值)
2020/7/2
13
风险评估实施流程
风险评估的准备
资产识别
威胁识别
脆弱性识别
已有安全措施的确认
风险识别
风险计算
是
保持已有的控制措施