信息安全风险评估国家标准介绍2

1信息安全风险评估标准化工作情况介绍国家信息中心信息安全研究与服务中心范红昆明2006年3月2前言2003年7月以来，信息安全风险评估国家标准经过前期的调查与研究，开始了编制工作。两年多来，在国信办和有关主管部门具体指导下，在信安标委大力支持下，经过科研单位、企业的专家以及业内人士共同努力，协力工作，目前《信息安全风险评估指南》等标准的编制工作已基本完成。现将有关情况简要汇报如下。3汇报内容一、标准的编制过程二、标准的主要内容三、下一步工作的几点思考4汇报内容一、标准的编制过程二、标准的主要内容三、下一步工作的几点思考5一、标准的编制过程1、前期研究准备2、标准草案编制3、试点实践验证6一、标准的编制过程1、前期研究准备2、标准草案编制3、试点实践验证71、前期研究准备2003年7月,中办发[2003]27号文件对开展信息安全风险评估工作提出了明确的要求。国信办委托国家信息中心牵头，成立了国家信息安全风险评估课题组，对信息安全风险评估相关工作展开调查研究。课题组利用半年多的时间，对我国信息安全风险评估现状进行了深入调查，掌握了第一手情况；对国内外相关领域的理论进行了学习、分析和研究，查阅了大量的相关资料，基本了解了此领域的国际前沿动态。这些都为标准编制工作奠定了良好的基础。8统一的风险评估技术标准是规范开展信息安全风险评估工作的必备条件。落实中办发27号文件、全面推进我国的信息安全风险评估工作，首先就必须解决我国缺乏统一的风险评估技术标准的问题。为此，国信办领导根据专家们的建议，决定着手开展信息安全风险评估国家标准的编制工作及相关实践活动。旨在通过这项工作更好地加强国家基础网络和重要信息系统的风险评估及管理工作，使其流程更加科学、统一、规范、有效。9一、标准的编制过程1、前期研究准备2、标准草案编制3、试点实践验证10根据国信办的指示和信安标委的具体要求，国家信息中心组织北京信息安全测评中心、上海市测评认证中心、国家保密技术研究所、公安部三所以及BJCA、上海三零卫士、联想、天融信、启明星辰、绿盟、科飞、凝瑞等国内十几家企事业单位于2004年3月29日正式启动标准草案的编制工作。起草组在前期准备工作的基础上，经过多次研究探讨，确定了编制标准应遵循的原则:2、标准草案编制111、符合我国现行的信息安全有关法律法规的要求，认真贯彻落实27号文件关于加强信息安全风险评估工作的精神；2、立足于我国信息化建设实践，积极借鉴国际先进标准的技术，提出符合我国基础网络和重要信息系统工程建设需求的风险评估规范；3、针对网络与信息系统的全生命周期，制订适应不同阶段特点和要求的风险评估实施方法；4、积极吸收信息安全有关主管部门和单位在等级保护、保密检查和产品测评等工作的经验与成果；5、标准文本体系结构科学合理，表述清晰，具有可实现性和可操作性。12在标准编制的过程中，标准起草组多次与相关主管部门所属机构的专家代表就技术标准有关主体内容进行会商；向相关单位发放标准文本，通过电子邮件等形式广泛征求业界意见；召开标准讨论会议三十几次，共收集近100条修改意见。起草组逐一对修改意见进行研究，在充分吸纳合理成份的基础上，对《信息安全风险评估指南》等标准进行了较大幅度的修改，使标准的体系结构更趋完善、合理。13一、标准的制定过程1、前期研究准备2、标准草案编制3、试点实践验证143、试点实践验证2005年2月,根据国信办[2005]4号和5号文件，关于在银行、税务、电力等部门和电子政务外网，以及北京、上海、黑龙江、云南等省市，开展信息安全风险评估试点工作的要求，标准起草组配合风险评估试点工作专家组开展了以下工作：--为各试点单位提供标准草案文本和相关说明；--在试点准备阶段与各试点单位的技术骨干进行标准技术交流；--根据标准草案文本涉及的关键技术，起草组成员选择试点环节参与实际试点；--在试点过程中，先后几次召开标准研讨会，征求各单位对标准的意见与建议。15整个试点工作历时7个月，各试点单位对标准草案先后提出40多条补充修改意见，标准起草组根据试点结果先后进行了三次较大规模的修改。主要内容包括：--细化了资产的分类方法、脆弱性的识别要求，修改并细化了风险计算的方法；--对自评估、检查评估不同评估形式的内容与实施的重点进行了区分；--对风险评估的工具进行了梳理和区分，形成了现在的几种类型；--细化了生命周期不同阶段风险评估的主要内容。试点实践证明，试行标准基本满足各试点单位评估工作的需求。162005年9月16日，《信息安全风险评估指南》顺利通过由周仲义院士主持的第一次评审。10月27日第二次专家评审会上，参评专家一致认为指南的操作性较强，对开展风险评估工作具有指导作用，并在国信办组织的风险评估试点中得到了进一步的实践验证和充实完善，达到国家标准送审稿的要求，同意通过评审。12月14日,由安标委第五工作组主持召开了由沈昌祥院士为专家组组长的《信息安全风险评估指南》（送审稿）专家评审会,得到与会专家的一致肯定并通过评审。17汇报内容一、标准的编制过程二、标准的主要内容三、下一步工作的几点思考18二、标准的主要内容1、什么是风险评估2、为什么要做风险评估3、风险评估怎么做19二、标准的主要内容1、什么是风险评估2、为什么要做风险评估3、风险评估怎么做201、什么是风险评估信息安全风险评估，是从风险管理角度，运用科学的方法和手段，系统地分析网络与信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施。并为防范和化解信息安全风险，或者将风险控制在可接受的水平，从而最大限度地保障网络和信息安全提供科学依据（国信办[2006]5号文件）。21风险评估要素关系图脆弱性资产价值威胁资产风险安全需求业务战略安全事件残余风险安全措施利用暴露具有成本被满足未控制可能诱发演变增加导出依赖增加降低抵御未被满足22风险评估要素关系图脆弱性资产价值威胁资产风险安全需求业务战略安全事件残余风险安全措施利用暴露具有成本被满足未控制可能诱发演变增加导出依赖增加降低抵御未被满足图中方框部分的内容为风险评估的基本要素;23风险评估要素关系图脆弱性资产价值威胁资产风险安全需求业务战略安全事件残余风险安全措施利用暴露具有成本被满足未控制可能诱发演变增加导出依赖增加降低抵御未被满足图中方框部分的内容为风险评估的基本要素;24风险评估要素关系图脆弱性资产价值威胁资产风险安全需求业务战略安全事件残余风险安全措施利用暴露具有成本被满足未控制可能诱发演变增加导出依赖增加降低抵御未被满足图中方框部分的内容为风险评估的基本要素;25风险评估要素关系图脆弱性资产价值威胁资产风险安全需求业务战略安全事件残余风险安全措施利用暴露具有成本被满足未控制可能诱发演变增加导出依赖增加降低抵御未被满足图中方框部分的内容为风险评估的基本要素;26风险评估要素关系图脆弱性资产价值威胁资产风险安全需求业务战略安全事件残余风险安全措施利用暴露具有成本被满足未控制可能诱发演变增加导出依赖增加降低抵御未被满足图中方框部分的内容为风险评估的基本要素;27风险评估要素关系图脆弱性资产价值威胁资产风险安全需求业务战略安全事件残余风险安全措施利用暴露具有成本被满足未控制可能诱发演变增加导出依赖增加降低抵御未被满足图中方框部分的内容为风险评估的基本要素;28风险评估要素关系图脆弱性资产价值威胁资产风险安全需求业务战略安全事件残余风险安全措施利用暴露具有成本被满足未控制可能诱发演变增加导出依赖增加降低抵御未被满足图中方框部分的内容为风险评估的基本要素;椭圆部分的内容是与基本要素相关的属性。29风险评估要素关系图脆弱性资产价值威胁资产风险安全需求业务战略安全事件残余风险安全措施利用暴露具有成本被满足未控制可能诱发演变增加导出依赖增加降低抵御未被满足图中方框部分的内容为风险评估的基本要素;椭圆部分的内容是与基本要素相关的属性。30风险评估要素关系图脆弱性资产价值威胁资产风险安全需求业务战略安全事件残余风险安全措施利用暴露具有成本被满足未控制可能诱发演变增加导出依赖增加降低抵御未被满足图中方框部分的内容为风险评估的基本要素;椭圆部分的内容是与基本要素相关的属性。31风险评估要素关系图脆弱性资产价值威胁资产风险安全需求业务战略安全事件残余风险安全措施利用暴露具有成本被满足未控制可能诱发演变增加导出依赖增加降低抵御未被满足图中方框部分的内容为风险评估的基本要素;椭圆部分的内容是与基本要素相关的属性。32风险评估要素关系图脆弱性资产价值威胁资产风险安全需求业务战略安全事件残余风险安全措施利用暴露具有成本被满足未控制可能诱发演变增加导出依赖增加降低抵御未被满足图中方框部分的内容为风险评估的基本要素;椭圆部分的内容是与基本要素相关的属性。33风险评估要素关系图脆弱性资产价值威胁资产风险安全需求业务战略安全事件残余风险安全措施利用暴露具有成本被满足未控制可能诱发演变增加导出依赖增加降低抵御未被满足图中方框部分的内容为风险评估的基本要素;椭圆部分的内容是与基本要素相关的属性。34风险评估要素关系图脆弱性资产价值威胁资产风险安全需求业务战略安全事件残余风险安全措施利用暴露具有成本被满足未控制可能诱发演变增加导出依赖增加降低抵御未被满足图中方框部分的内容为风险评估的基本要素;椭圆部分的内容是与基本要素相关的属性。风险评估围绕着基本要素展开，同时需要充分考虑与基本要素相关的各类属性。35风险评估要素关系图脆弱性资产价值威胁资产风险安全需求业务战略安全事件残余风险安全措施利用暴露具有成本被满足未控制可能诱发演变增加导出依赖增加降低抵御未被满足图中方框部分的内容为风险评估的基本要素;椭圆部分的内容是与基本要素相关的属性。风险评估围绕着基本要素展开，同时需要充分考虑与基本要素相关的各类属性。（1）业务战略的实现对资产具有依赖性，依赖程度越高，要求其风险越小；36风险评估要素关系图脆弱性资产价值威胁资产风险安全需求业务战略安全事件残余风险安全措施利用暴露具有成本被满足未控制可能诱发演变增加导出依赖增加降低抵御未被满足图中方框部分的内容为风险评估的基本要素;椭圆部分的内容是与基本要素相关的属性。风险评估围绕着基本要素展开，同时需要充分考虑与基本要素相关的各类属性。（1）业务战略的实现对资产具有依赖性，依赖程度越高，要求其风险越小；（2）资产是有价值的，组织的业务战略对资产的依赖程度越高，资产价值就越大；37风险评估要素关系图脆弱性资产价值威胁资产风险安全需求业务战略安全事件残余风险安全措施利用暴露具有成本被满足未控制可能诱发演变增加导出依赖增加降低抵御未被满足图中方框部分的内容为风险评估的基本要素;椭圆部分的内容是与这些要素相关的属性。风险评估围绕着基本要素展开，同时需要充分考虑与基本要素相关的各类属性。（1）业务战略的实现对资产具有依赖性，依赖程度越高，要求其风险越小；（2）资产是有价值的，组织的业务战略对资产的依赖程度越高，资产价值就越大；（3）风险是由威胁引发的，资产面临的威胁越多则风险越大，并可能演变成安全事件；38风险评估要素关系图脆弱性资产价值威胁资产风险安全需求业务战略安全事件残余风险安全措施利用暴露具有成本被满足未控制可能诱发演变增加导出依赖增加降低抵御未被满足图中方框部分的内容为风险评估的基本要素;椭圆部分的内容是与基本要素相关的属性。风险评估围绕着基本要素展开，同时需要充分考虑与基本要素相关的各类属性。（1）业务战略的实现对资产具有依赖性，依赖程度越高，要求其风险越小；（2）资产是有价值的，组织的业务战略对资产的依赖程度越高，资产价值就越大；（3）风险是由威胁引发的，资产面临的威胁越多则风险越大，并可能演变成安全事件；（4）资产的脆弱性可以暴露资产的价值，资产具有的弱点越多则风险越大；39风险评估要素关系图脆弱性资产价值威胁资产风险安全需求业务战略安全事件残余风险安全措施利用暴露具有成本被满足未控制可能诱发演变增加导出依赖增加降低抵御未被满足图中方框部分的内容为风险评估的基本要素;椭圆部分的