信息安全风险评估标准及试点工作情况介绍

SICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSICINFOSECSIC国家信息安全风险评估工作情况介绍报告人:范红二00五年五月2汇报内容一、国家风险评估前期工作概述二、风险评估标准编制情况介绍三、风险评估标准内容简介四、风险评估试点工作情况介绍五、下一步的工作考虑3一、国家风险评估前期工作概述为了贯彻落实中办发2003[27]号文件的精神，国信办委托国家信息中心牵头，会同公安部,保密局,中科院和解放军等部门组织专家成立了风险评估课题组。课题组的宗旨是以信息安全风险为切入点,全面了解我国信息安全建设现状,发现问题并寻找应对措施。课题组在2003年下半年对北京,上海,广州和深圳四个地区的十几个行业的五十多家企事单位进行了广泛的调研与走访,完成了我国信息安全风险评估调查报告,同时,课题组对国内外信息安全风险评估工作进行了系统的理论梳理,所完成的信息安全风险评估研究报告做为2004年1月在北京召开全国第一次信息安全保障大会的传阅文件。在这次大会黄菊同志的讲话中要求大家重视风险评估工作,并将风险评估列为我国信息安全保障体系建设要抓的五项基础性工作之一。4一、国家风险评估前期工作概述为了进一步推动信息安全风险评估工作，在2003年工作基础上，国信办决定2004年继续委托国家信息中心组织信息安全风险评估课题组下一阶段的工作。为了将已有工作做深做实,并为下一步国家出台风险评估指导意见以及进行国家重要信息系统和基础网络的风险评估试点工作做准备，根据国信办领导的指示，课题组在2004年上半年启动了风险评估指南和风险管理指南等标准的编制工作。旨在通过这项工作更好地加强信息安全风险评估及管理，使其流程更加科学、规范和有效，从而促进我国信息安全保障体系的建立，进而推动我国信息化的建设历程。5二、风险评估标准编制情况介绍自任务下达后，国家信息中心组织国内十几家从事过安全风险评估工作的单位开展了信息安全风险评估标准规范的制定工作,对当前大家在评估实践工作默认的共同规范进行归纳、总结、简化与提升。标准编制工作于2004年3月29日正式启动，整个撰写工作分为前期准备阶段、提纲编制阶段、任务细化阶段、整合完成阶段等阶段，历时一年先后完成信息安全评估指南与信息安全管理指南的征求意见稿。6标准编制原则（1）立足于我国当前信息化建设现状，对我国信息安全风险评估方法进行总结、归纳、简化与提升，注重吸纳国外相关领域的先进成果并为我所用,使其本土化。（2)可操作性和实用性。标准是对实际工作的总结与提升，但最终还要用于实践，要经得起实践的检验。因此要可用，可操作。（3)注重吸收主管部门在评估方面已有的经验与成果。如等级保护、保密检查和产品测评等。（4)科学性与前瞻性。评估标准中要体现科学性。所提供的方法要可信，要具有引领的作用。7三、风险评估标准内容简介1、评估指南内容简介2、管理指南内容简介8三、风险评估标准内容简介1、评估指南内容简介2、管理指南内容简介91、风险评估指南内容简介信息安全风险评估指南包括指南文本和附录两部分。其中指南文本由一个前言和8章内容组成，分为以下几部分：1、概述部分；2、模型与流程部分；3、实施部分；4、关联部分。附录部分由二个附录组成。10风险评估的定义信息系统的安全风险，是指由于系统存在的脆弱性，人为或自然的威胁导致安全事件发生所造成的影响。信息安全风险评估，则是指依据国家有关信息安全技术标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程，它要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后安全事件发生的可能性，并结合资产的重要程度来识别信息系统的安全风险。11术语及定义资产价值威胁脆弱性风险残余风险风险评估可用性保密性完整性业务战略安全事件安全需求安全措施自评估检查评估12风险评估要素关系模型安全措施业务战略脆弱性安全需求威胁风险残余风险安全事件依赖拥有被满足利用暴露增加导出演变未控制可能诱发残留成本资产资产价值13风险计算模型资产拥有者威胁来源信息资产威胁弱点安全事件安全风险（风险值）14风险评估实施流程否是否是风险评估的准备已有安全措施的确认风险计算风险是否接受保持已有的控制措施选择适当的控制措施并评估残余风险实施风险管理脆弱性识别威胁识别资产识别是否接受残余风险风险识别评估过程文档评估过程文档风险评估结果记录评估结果文档………………15风险评估的形式及角色运用评估指南根据评估的发起方的不同，将风险评估形式分为自评估和检查评估两大类。自评估是由被评估信息系统的拥有者发起的，并依靠自身的力量，对其自身的信息系统进行的风险评估活动。检查评估则通常是被评估信息系统的拥有者的上级主管机关或业务主管机关发起的，旨在依据已经颁布的法规或标准进行的，具有强制意味的检查活动，是通过行政手段加强信息安全的重要措施。信息安全风险评估服务机构可为自评估和检查评估提供风险评估的咨询、培训等服务以及提供风险评估的有关工具和手段。16在风险评估指南的文本部分，我们试图给出进行风险评估的一个路线图（实施流程），以及这个路线图中包括的若干关键点（关键步骤）和从一个关键点到另一个关键点的原则。这些也是参与编制工作的人员共同讨论的结果。这也体现了做为国家标准对于通用规律的把握。同时，为了避免过程的僵硬，以及体现评估中定量与定性的结合的特点，对于一些具体的实现细节指南进行了开放性地处理，放到了附录部分。即在附录中给出了当前较为常用的风险计算方法与工具以供选择，此部分将随着技术的发展而不断更新。17三、风险评估标准内容简介1、评估指南内容简介2、管理指南内容简介182、风险管理指南内容简介信息安全风险管理指南的文本由一个前言和14个章节组成，主要包括以下几方面的内容：1、信息安全风险管理的目的和意义2、信息安全风险管理的范围和对象3、信息安全风险管理的角色和责任4、信息安全风险管理的内容和过程5、风险管理在信息系统生命周期不同阶段的运用19信息安全风险管理的目的和意义信息安全风险管理是信息安全保障工作中的一项基础性工作。（1）信息安全风险管理体现在信息安全保障体系的技术、组织和管理等方面。（2）信息安全风险管理贯穿信息系统生命周期的全部过程。（3）信息安全风险管理依据等级保护的思想和适度安全的原则，平衡成本与效益，合理部署和利用信息安全的信任体系、监控体系和应急处理等重要的基础设施，确定合适的安全措施，从而确保机构具有完成其使命的信息安全保障能力。20信息安全风险管理的范围和对象信息自身信息载体信息载体信息载体信息载体信息环境信息环境信息环境信息环境信息环境信息环境21风险管理的内容和过程对象确立风险评估风险控制审核批准沟通与咨询沟通与咨询沟通与咨询沟通与咨询监控与审查22三维结构关系对象确立风险控制风险评估审核批准监控与审查沟通与咨询　　保　密性　　　可　　追　究性　　完　整性　　可　用性信息安全风险管理　　　　　信　　　　息　　　安　　全　目标信息系统生命周期XYZ保障级别规划设计实施运维废弃　　　抗　　否　认性23四、风险评估试点工作情况介绍1、整体工作介绍2、专家组的工作安排3、规划与设计阶段风险评估实施细则241、整体工作介绍在前述工作的基础上，为制定关于开展信息安全风险评估工作的意见提供实践依据，以及在实践中进一步修改完善两项国家标准，国信办联合有关部门和地方在2005年对银行、税务、电力、国家电子政务外网等重要信息系统和关键基础设施以及北京市、上海市、黑龙江省、云南省等地方的电子政务系统启动了风险评估试点工作。25试点工作分为准备阶段、实施阶段和总结阶段，工作时间为8个月。各试点单位将依据信息安全风险评估指南和信息安全风险管理指南，结合自身的具体情况，选择相应的风险评估方法和适当的工具，制定风险评估实施方案，并在评估实践中进一步检验标准的完备性和适用性，同时摸索国家进一步开展风险评估工作的实践经验。试点工作中还将检验自评估、检查评估等不同信息安全风险评估工作模式的实践效果，为国家信息安全主管部门制定信息安全管理政策提供客观依据；了解和掌握被评估的信息系统的安全风险状况，为信息系统的使用管理部门制定安全策略、采取安全措施提供决策建议。262、专家组的工作安排为了完成两项国标的修改与完善工作，在国信办原有的风险评估课题组的基础上，成立了国信办风险评估试点工作专家组，其主要任务为：在准备阶段组织八个试点单位的相关人员进行培训，明确风险评估流程和风险评估准备阶段的任务，协助试点单位制定其风险评估实施方案。在实施阶段到各试点单位调研，选择重点行业的单位进行阶段性的蹲点，广泛调研其试点方案实施情况，了解各单位在试点过程中对评估及管理的流程、方法、工具和手段的使用存在的问题，不断充实和完善标准。272、专家组的工作安排在总结阶段将汇总各试点单位的试点工作情况，完善准的修改意见。在各试点单位正式总结之前，召开评审会为国信办试点工作总结提供基础素材。充实和完善《信息安全风险评估指南》和《信息安全风险管理指南》，通过试点工作提出两个标准的修改意见，根据国信办领导的指示，两项国标将经过试点工作的完善与修改，于2005年年底完成并正式报为国标。同时与标准相关的配套理论、方法和规范的研究目前正在进行之中。此外，专家组还将协助风险评估试点工作领导小组制定《关于开展信息安全风险评估工作的意见》。283、规划与设计阶段风险评估实施细则第一阶段第二阶段第三阶段标准的项目化提出风险评估项目工作指南具体方法的提出发现威胁的方法,发现脆弱性的方法等用于政务外网实例评估报告29«电子政务网络规划与设计阶段风险评估项目工作指南»«资产定位方法指南»«确定脆弱性方法指南»«确定威胁方法指南»«电子政务网络规划与设计阶段风险评估实施细则»«电子政务外网规划与设计阶段风险评估实施案例»30五、下一步的工作考虑31谢谢！