信息安全风险评估

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

34
风险评估可以不断深入地发现系统建设中的安全隐
患,采取或完善更加经济有效的安全保障措施,来消除安全 建设中的盲目乐观或盲目恐惧,提出有针对性的从实际出发 的解决方法,提高系统安全的科学管理水平,进而全面提升 网络与信息系统的安全保障能力。
6
统一的风险评估技术标准是规范开展信息安全风
险评估工作的必备条件。落实中办发 27号文件、全面推进 我国的信息安全风险评估工作,首先就必须解决我国缺乏 统一的风险评估技术标准的问题。 为此,国信办领导根据专家们的建议,决定着手开展 信息安全风险评估国家标准的编制工作及相关实践活动。 旨在通过这项工作更好地加强国家基础网络和重要信息系 统的风险评估及管理工作,使其流程更加科学、统一、规 范、有效。
22
与 会专家听取了起草小组的编制说明及内容介绍,审阅了 相关文档资料,经质询和讨论,一致认为:
一、送审稿规范了风险评估的评估内容与范围、基本概念,明确 了资产、威胁、脆弱性和安全风险等关键要素及其赋值原则和 要求,提出了实施流程与操作步骤、评估规则与基本方法,并 充分考虑与信息安全等级保护相关标准相衔接。 二、送审稿的操作性较强,对开展风险评估工作具有指导作用, 并在国务院信息办组织的风险评估试点中得到了进一步的实践 验证和充实完善。 三、文本的编制符合国家标准GB1.1的要求。 专家组认为送审稿达到国家标准送审稿的要求,同意通过评 审。建议起草组根据专家意见尽快修改完善后申报。
31
风险评估要素关系图
业务战略
依 赖
脆 弱 性
暴 露
资 产
具 有
资产价值
利 用
增 加
未被满足
成 本
威 胁
增 加
风 险
导 出
安全需求
演 变
抵 御
降 低
被 满 足
安全事件
可能诱发
残余风险
未 控 制
安全措施
图中方框部分的内容为风险评估的基 本要素;椭圆部分的内容是与这些要素相 关的属性。 风险评估围绕着基本要素展开,同时 需要充分考虑与基本要素相关的各类属性 。
13
整个试点工作历时7个月,各试点单位对标准草案先
后提出40 多条补充修改意见,标准起草组根据试点结果先 后进行了三次较大规模的修改。主要内容包括: --细化了资产的分类方法、脆弱性的识别要求,修 改并细化了风险计算的方法; --对自评估、检查评估不同评估形式的内容与实施 的重点进行了区分; --对风险评估的工具进行了梳理和区分,形成了现 在的几种类型; --细化了生命周期不同阶段风险评估的主要内容。 试点实践证明,试行标准基本满足各试点单位评估工 作的需求。
中国工程院 国务院信息办 国家发改委高科技司 中国标准化协会 全国信息安全标准化技术委员会 国家信息化专家咨询委员会 公安部十一局 国税总局信息中心 黑龙江省信息产业厅 上海市信息化管理委员会 总参三部三局 中国电子技术标准化研究所 国家电网公司 北京市CA中心
2005年10月27日,国家信息中心在北京组织召开了
14
一、标准的制定过程
1、前期研究准备 2、标准草案编制 3、试点实践检验 4、专家评审论证
15
4、专家评审论证
2005年9月16日,国家信息中心在北京组织召开
了由周仲义院士主持的《信息安全风险评估指南(征求意 见稿)》第一次专家评审会。
16
第一次专家评审会名单
姓 名 周仲义 熊四皓 王娜 姚世权 贾颖禾 崔书昆 景乾元 李建彬 张宏伟 姚丽旋 肖京华 冯惠 吴伟 詹榜华 单 位 职务/职称 院士 处长 处长 研究员 副秘书长/研究员 委员/研究员 处长 副处长 处长 处长 处长 副主任/高工 处长 总经理 17
32
二、标准的主要内容
1、什么是风险评估 2、为什么要做风险评估 3、风险评估怎么做
33
2、为什么要做风险评估
安全源于风险。
在信息化建设中,建设与运营的网络与信息系统由于可能 存在的系统设计缺陷、隐含于软硬件设备的缺陷、系统集成时 带来的缺陷,以及可能存在的某些管理薄弱环节,尤其当网络 与信息系统中拥有极为重要的信息资产时,都将使得面临复杂 环境的网络与信息系统潜在着若干不同程度的安全风险。
10
在标准编制的过程中,标准起草组多次与相关主管
部门所属机构的专家代表就技术标准有关主体内容进行会 商;向相关单位发放标准文本,通过电子邮件等形式广泛 征求业界意见;召开标准讨论会议三十几次,共收集100 多条修改意见。 起草组逐一对修改意见进行研究,在充分吸纳合理成 份的基础上,对《信息安全风险评估规范》等标准进行了 较大幅度的修改,使标准的体系结构更趋完善、合理。
9

1 、符合我国现行的信息安全有关法律法规的要求, 认真贯彻落实 27号文件关于加强信息安全风险评估工作的 精神; 2 、立足于我国信息化建设实践,积极借鉴国际先进 标准的技术,提出符合我国基础网络和重要信息系统工程 建设需求的风险评估规范; 3 、针对网络与信息系统的全生命周期,制订适应不 同阶段特点和要求的风险评估实施方法; 4 、积极吸收信息安全有关主管部门和单位在等级保 护、保密检查和产品测评等工作的经验与成果; 5 、标准文本体系结构科学合理,表述清晰,具有可 实现性和可操作性。
11
一、标准的制定过程
1、前期研究准备 2、标准草案编制 3、试点实践检验 4、专家评审论证
12
3、试点实践检验
2005 年 2 月 , 根 据 国 信 办 [2005]4 号 和 5 号 文
件,关于在银行、税务、电力等部门和电子政务外网,以 及北京、上海、黑龙江、云南等省市,开展信息安全风险 评估试点工作的要求,标准起草组配合风险评估试点工作 专家组开展了以下工作: --为各试点单位提供标准草案文本和相关说明; --在试点准备阶段与各试点单位的技术骨干进行标 准技术交流; --根据标准草案文本涉及的关键技术,起草组成员 选择试点环节参与实际试点; --在试点过程中,先后几次召开标准研讨会,征求 各单位对标准的意见与建议。
29
二、标准的主要内容
1、什么是风险评估 2、为什么要做风险评估 3、风险评估怎么做
30
1、什么是风险评估
信息安全风险 人为或自然的威胁利用信息系统及其 管理体系中存在的脆弱性导致安全事件的发生及其对组织 造成的影响。 信息安全风险评估 依据有关信息安全技术与管理标 准,对信息系统及由其处理、传输和存储的信息的保密性、 完整性和可用性等安全属性进行评价的过程。它要评估资 产面临的威胁以及威胁利用脆弱性导致安全事件的可能 性,并结合安全事件所涉及的资产价值来判断安全事件一 旦发生对组织造成的影响。
4
一、标准的编制过程
1、前期研究准备 2、标准草案编制 3、试点实践检验 4、专家评审论证
5
1、前期研究准备
2003年7月, 中办发[2003]27号文件对开展信息
安全风险评估工作提出了明确的要求。国信办委托国家信 息中心牵头,成立了国家信息安全风险评估课题组,对信 息安全风险评估相关工作展开调查研究。课题组利用半年 多的时间,对我国信息安全风险评估现状进行了深入调 查,掌握了第一手情况;对国内外相关领域的理论进行了 学习、分析和研究,查阅了大量的相关资料,基本了解了 此领域的国际前沿动态。这些都为标准编制工作奠定了良 好的基础。
信息安全风险评估国家标准 编制及内容介绍
二00六年九月
范 红
主要内容
一、标准的编制过程 二、标准的主要内容 三、下一步工作的几点思考
2
主要百度文库容
一、标准的编制过程 二、标准的主要内容 三、下一步工作的几点思考
3
一、标准的编制过程
1、前期研究准备 2、标准草案编制 3、试点实践检验 4、专家评审论证
21
专家评审会名单
姓 名 沈昌祥 吉增瑞 赵战生 卿斯汉 杜虹 景乾元 崔书昆 单 位 职务/职称 院士 研究员 研究员 研究员 所长 处长 研究员
海军计算技术研究所 公安部信息安全标委会委员 国家信息化咨询委员会 中科院信息安全技术工程研究中心 国家保密技术研究所 公安部十一局 国家信息化咨询委员会
23
2006年3月6日和3月16日,在国信办进行的
行业和省市的风险评估政策文件的两次宣贯会上,信息安全 风险评估征求意见稿以国信办文件的形式下发,为各行业和 省市开展风险评估提供技术依据。
24
2006年4月18日,全国信息安全标准化技术委员
(安标委)会第五工作组(WG5)在北京召开全体工作组成员 标准投票会议,对信息安全风险评估国家标准送审稿进行工 作组全体成员投票表决。与会的三十几位专家听取了标准起 草组对《指南》的编制过程以及主要内容的介绍,经投票一 致通过了标准的评审。
(1)业务战略的实现对资产具有依赖性,依赖程度 越高,要求其风险越小; (2)资产是有价值的,组织的业务战略对资产的依 赖程度越高,资产价值就越大; (3)风险是由威胁引发的,资产面临的威胁越多则 风险越大,并可能演变成安全事件; (4)资产的脆弱性可以暴露资产的价值,资产具有 的弱点越多则风险越大; (5)脆弱性是未被满足的安全需求,威胁利用脆弱 性危害资产; (6)风险的存在及对风险的认识导出安全需求; (7)安全需求可通过安全措施得以满足,需要结合 资产价值考虑实施成本; (8)安全措施可抵御威胁,降低风险; (9)残余风险是未被安全措施控制的风险。有些是 安全措施不当或无效,需要加强才可控制的风险;而 有些则是在综合考虑了安全成本与效益后未去控制的 风险; (10)残余风险应受到密切监视,它可能会在将来诱 发新的安全事件。
与会专家认为标准起草组做了大量卓有成效的工作,
标准的结构合理、内容完备、可操作性强,并充分考虑与信息 安全等级保护相关标准相衔接。文本的编制符合国家标准的要 求。同时,专家们也对完善标准提出了进一步的修改意见。
20
2005年12月14日,由安标委第五工作组主持召开了
由沈昌祥院士为专家组组长的信息安全风险评估国家标准送审 稿的专家评审会。
全国信息安全标准化技术委员会 国家信息化咨询委员会 国家信息化咨询委员会 信息安全863项目专家组组长 中国信息安全产品测评认证中心 国家信息化咨询委员会 公安部十一局 解放军信息安全测评中心 全国信息安全标准化技术委员会 中国信息安全产品测评认证中心 中石油经济技术中心 民航总局人事科技司 航天科技集团706所 中国工商银行总行信息科技部
26
2006年7月19日, 全国信息安全标准化委员
会主任办公会上讨论通过了《信息安全技术 信息安全 风险评估规范》(报批稿),目前已进入报批程序。
27
主要内容
一、标准的编制过程 二、标准的主要内容 三、下一步工作的几点思考
28
二、标准的主要内容
1、什么是风险评估 2、为什么要做风险评估 3、风险评估怎么做
信息安全风险评估国家标准征求意见稿的第二次专家评审会。
18
第二次专家评审会名单
姓 名 何义大 赵战生 曲成义 冯登国 陈晓桦 崔书昆 景乾元 肖京华 贾颖禾 李守鹏 王同良 江志强 谢小权 吕仲涛 单 位 职务/职称 副主任 研究员 研究员 研究员 研究员 研究员 处长 处长 副秘书长 副主任 副主任 处长 副所长 总工 19
25
2006年6月19日,全国信息安全标准化技术委
员会秘书处在北京组织召开了信息安全风险评估标准送审 稿的专家审查会,与会专家经质询和讨论,将标准正式命 名为《信息安全技术 信息安全风险评估规范》, 认为该标准达到国家标准送审稿的要求,同意通过评审。 会后,国家信息中心先后与各起草单位和有关专家 就标准规范报批稿的修改进行了进一步的研讨,并逐一落 实了专家提出的意见。
7
一、标准的编制过程
1、前期研究准备 2、标准草案编制 3、试点实践检验 4、专家评审论证
8
2、标准草案编制
据国信办的指示和信安标委的具体要求,国家信息 中心组织国家保密技术研究所、公安部三所、北京信息安全 测评中心、上海市测评认证中心、信息安全国家重点实验室 以及BJCA、上海三零卫士、联想、天融信、启明星辰、绿 盟、科飞、凝瑞等国内十几家企事业单位 于2004年3月29日 正式启动标准草案的编制工作 。此后,中国信息安全产品测 评认证中心、解放军信息技术安全研究中心、航天部二院七 O六所等单位也参与了标准的编制与起草。 起草组在前期准备工作的基础上,经过多次研究探讨, 确定了编制标准应 遵循的原则 :
相关文档
最新文档