当前位置:文档之家 › 信息安全风险评估指南

信息安全风险评估指南

  • 格式:ppt
  • 大小:1.32 MB
  • 文档页数:61

下载文档原格式

  / 61

合集下载

信息安全评估指南

信息安全评估指南

信息安全评估指南第一部分:导言现代社会中,信息安全成为各行各业关注的焦点。

为了保护信息的机密性、完整性和可用性,评估信息系统的安全性显得尤为重要。

本文将为各行业提供一份全面的信息安全评估指南。

第二部分:信息安全评估基础1. 信息安全评估的定义信息安全评估是指对信息系统的安全性进行全面、系统和客观的审核、检测、评估以及风险分析的过程。

2. 信息安全评估的目的信息安全评估的目的是确认信息系统的安全性,发现和解决潜在的安全风险,保护机构的信息系统资源。

3. 信息安全评估的重要性信息安全评估可以帮助机构识别并弥补信息系统中的弱点、漏洞,降低信息系统被攻击的风险,保护敏感信息的安全性。

第三部分:信息安全评估流程1. 风险评估风险评估是信息安全评估的重要环节,它包括评估潜在风险的严重性、可能性和影响,以确定相应的安全控制措施。

2. 资产管理通过对机构的信息资产进行有效管理,包括标识、分类、估值和保护措施等,可以保障信息系统的安全性。

3. 安全策略和控制制定和实施信息安全策略和控制措施,包括密码策略、访问控制、网络安全、恶意软件防护等,以确保信息系统的安全性。

4. 安全培训与教育提供适当的安全培训和教育,使员工了解信息安全政策和最佳实践,并提高他们的安全意识和操作水平。

5. 安全漏洞管理及时发现和修复信息系统中的安全漏洞,实施漏洞管理和短期应急措施,以最大程度地降低安全风险。

6. 安全审计进行定期的安全审计,评估信息系统的安全性和合规性,发现并纠正潜在的安全问题。

第四部分:信息安全评估工具和技术1. 风险评估工具使用风险评估工具,例如风险矩阵、风险估算模型等,来评估潜在风险的严重性和可能性,并为风险管理提供依据。

2. 漏洞扫描工具利用漏洞扫描工具对信息系统进行全面的扫描,发现系统中存在的安全漏洞,并提供修复建议。

3. 安全测评技术采用各种安全测评技术,包括渗透测试、代码审查、安全建模等,对信息系统的安全性进行全面的评估。

ISO27001信息安全风险评估指南

ISO27001信息安全风险评估指南

信息安全风险评估指南1、本指南在编制过程中主要依据了国家政策法规、技术标准、规范与管理要求、行业标准并得到了无锡新世纪信息科技有限公司的大力支持。

1.1政策法规:✧《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)✧《国家网络与信息安全协调小组关于开展信息安全风险评估工作的意见》(国信办[2006]5号)1.2国际标准:✧ISO/IEC 17799:2005《信息安全管理实施指南》✧ISO/IEC 27001:2005《信息安全管理体系要求》✧ISO/IEC TR 13335《信息技术安全管理指南》1.3国内标准:✧《信息安全风险评估指南》(国信办综[2006]9号)✧《重要信息系统灾难恢复指南》(国务院信息化工作办公室2005年4月)✧GB 17859—1999《计算机信息系统安全保护等级划分准则》✧GB/T 18336 1-3:2001《信息技术安全性评估准则》✧GB/T 5271.8--2001 《信息技术词汇第8部分:安全》✧GB/T 19715.1—2005 《信息技术安全管理指南第1部分:信息技术安全概念和模型》✧GB/T 19716—2005 《信息安全管理实用规则》1.4其它✧《信息安全风险评估方法与应用》(国家863高技术研究发展计划资助项目(2004AA147070))2、风险评估2.1、风险评估要素关系模型风险评估的出发点是对与风险有关的各因素的确认和分析。

下图中方框部分的内容为风险评估的基本要素,椭圆部分的内容是与这些要素相关的属性,也是风险评估要素的一部分。

风险评估的工作是围绕其基本要素展开的,在对这些要素的评估过程中需要充分考虑业务战略、资产价值、安全事件、残余风险等与这些基本要素相关的各类因素。

如下模型表示了各因素的关系:业务战略资产资产价值安全需求残余风险安全事件脆弱性威胁风险安全措施依赖具有导出降低抵御未控制可能诱发演变利用暴露未被满足增加增加图中这些要素之间存在着以下关系:业务战略依赖于资产去完成;资产拥有价值,单位的业务战略越重要,对资产的依赖度越高,资产的价值则就越大;资产的价值越大则风险越大;风险是由威胁发起的,威胁越大则风险越大,并可能演变成安全事件;威胁都要利用脆弱性,脆弱性越大则风险越大;脆弱性使资产暴露,是未被满足的安全需求,威胁要通过利用脆弱性来危害资产,从而形成风险;资产的重要性和对风险的意识会导出安全需求;安全需求要通过安全措施来得以满足,且是有成本的;安全措施可以抗击威胁,降低风险,减弱安全事件的影响;风险不可能也没有必要降为零,在实施了安全措施后还会有残留下来的风险,—部分残余风险来自于安全措施可能不当或无效,在以后需要继续控制这部分风险,另一部分残余风险则是在综合考虑了安全的成本与资产价值后,有意未去控制的风险,这部分风险是可以被接受的;残余风险应受到密切监视,因为它可能会在将来诱发新的安全事件。

信息安全风险评估指南

信息安全风险评估指南

信息安全风险评估指南引言如今,信息技术的快速发展与普及给人们的生活和工作带来了极大的便利,同时也衍生了各种信息安全风险。

信息安全风险评估作为一种有效的手段,帮助组织识别、分析和评估信息系统中存在的风险,为信息安全提供科学依据。

本文将从信息安全风险评估的目的、过程和方法等方面进行论述,旨在为各行业提供一份实用的指南,以确保信息安全风险可控。

一、信息安全风险评估的目的信息安全风险评估的目的是为了帮助组织全面了解自身信息系统的安全状况,识别潜在威胁和风险,并提出相应的风险管理建议。

通过风险评估,组织能够更好地规划和管理信息安全工作,降低信息泄露、数据丢失和系统瘫痪带来的风险。

同时,风险评估也为组织和相关利益相关方提供决策依据,确保信息系统的可信度和可用性。

二、信息安全风险评估的过程1. 风险评估范围的确定风险评估前,需要明确评估的范围,包括评估的对象、评估的层次和组织的目标。

可以根据实际情况选择评估的范围,例如全面评估整个信息系统,或者重点评估关键系统或业务流程。

2. 风险识别与分析在风险识别与分析阶段,需要收集和分析与评估范围相关的信息,包括系统配置、安全策略、攻击事件等。

通过制定细致的问卷、面谈等方式,获取相关责任人的意见和建议。

分析风险的发生概率和影响程度,并将其归类和排序,以便后续风险控制措施的制定。

3. 风险评估与测量在风险评估与测量阶段,根据风险识别与分析结果,对各风险进行评估和测量。

常用的评估方法包括定性和定量两种。

定性评估基于专家经验和判断,以等级、标志和描述等形式表达风险程度;定量评估则以可量化的指标和数据进行计算和分析,如风险值和风险损失预测等。

4. 风险控制与建议根据风险评估和测量的结果,为每种风险制定相应的控制措施和建议。

控制措施可以包括技术措施、管理措施和物理措施等,具体取决于风险的性质和特点。

同时,建议针对性地调整和完善组织的信息安全管理制度,提高整体的安全能力。

三、信息安全风险评估的方法1. 漏洞扫描与漏洞利用漏洞扫描是通过扫描工具对系统中的漏洞进行检测和识别,使用各类漏洞扫描工具,如漏洞验证工具、入侵检测工具等,可以快速发现系统中的潜在漏洞。

信息安全风险评估指南

信息安全风险评估指南

信息安全风险评估指南引言:随着信息技术的快速发展,信息安全风险日益突出。

为了保障组织的信息安全,进行信息安全风险评估是必不可少的一步。

本文将介绍信息安全风险评估的基本概念,方法和步骤,以及常见的风险评估工具和技术。

一、信息安全风险评估的基本概念1.信息安全风险:指潜在的威胁和漏洞,可能导致组织的信息系统受到损害、丢失或中断的概率和后果。

2.信息安全风险评估:指对组织信息系统和数据进行分析和评估,确定安全风险并提供风险管理建议的过程。

二、信息安全风险评估的方法和步骤1.收集信息:收集组织的相关信息,包括资产清单、网络拓扑图、安全策略和安全漏洞等。

2.风险识别:基于信息收集,识别可能存在的威胁、漏洞和风险。

3.风险分析:对已识别的风险进行分析,确定其潜在的损失概率和影响程度。

5.风险管理建议:提供相应的风险管理建议,包括控制措施和风险处理策略。

6.风险监控和评估:持续监控风险的变化和实施风险管理措施的效果,进行风险再评估。

三、常见的信息安全风险评估工具和技术1. 脆弱性扫描工具(Vulnerability Scanners):用于扫描网络和系统中的脆弱性,发现潜在的安全漏洞。

2. 渗透测试工具(Penetration Testing Tools):模拟黑客攻击,检测系统和应用程序的弱点和漏洞。

3. 安全评估框架(Security Assessment Frameworks):提供一套标准的风险评估方法和工具,帮助组织进行系统的评估和改进。

4. 数据分类和加密技术(Data Classification and Encryption):对数据进行分类和加密,保护敏感信息的安全性。

5. 安全信息和事件管理系统(Security Information and Event Management System):集中收集、分析和管理安全事件和日志,提供实时的安全监控和响应。

结论:信息安全风险评估是保障组织信息安全的重要步骤。

信息安全技术 信息安全风险评估实施指南

信息安全技术 信息安全风险评估实施指南

信息安全技术信息安全风险评估实施指南信息安全技术是现代社会中不可或缺的一部分,它涉及到个人隐私、企业机密等重要信息的保护。

而信息安全风险评估则是信息安全技术的重要组成部分,它可以帮助企业或组织识别和评估潜在的信息安全风险,以便采取相应的措施来降低风险。

信息安全风险评估实施指南是一份详细的指南,旨在帮助企业或组织实施信息安全风险评估。

以下是一些关键步骤和注意事项:1.明确评估目标和范围在开始评估之前,必须明确评估的目标和范围。

这包括确定评估的系统、应用程序、网络、设备等,以及评估的目的,例如确定潜在的威胁、评估现有安全措施的有效性等。

2.收集信息在评估过程中,需要收集大量的信息,包括系统和应用程序的配置信息、网络拓扑图、安全策略和控制、安全事件日志等。

这些信息将有助于评估人员了解系统的安全状况,识别潜在的威胁和漏洞。

3.识别潜在的威胁和漏洞评估人员需要对收集到的信息进行分析,以识别潜在的威胁和漏洞。

这包括对系统和应用程序的漏洞扫描、网络嗅探、密码破解等技术手段的使用。

评估人员还需要考虑社会工程学攻击、内部威胁等非技术因素。

4.评估风险在识别潜在的威胁和漏洞之后,评估人员需要对风险进行评估。

评估风险的方法包括定性评估和定量评估。

定性评估是基于专家判断和经验,对风险进行主观评估。

定量评估则是基于数据和统计分析,对风险进行客观评估。

5.制定风险管理计划在评估风险之后,需要制定风险管理计划。

这包括确定风险的优先级、制定相应的风险控制措施、制定应急响应计划等。

风险管理计划应该是可行的、可执行的,并且需要得到相关人员的支持和认可。

6.监控和更新风险管理计划风险管理计划不是一次性的,它需要不断地监控和更新。

评估人员需要定期检查风险管理计划的执行情况,以确保其有效性。

如果发现新的威胁或漏洞,需要及时更新风险管理计划。

总之,信息安全风险评估是一项复杂的任务,需要专业的评估人员和科学的方法。

实施指南提供了详细的步骤和注意事项,可以帮助企业或组织有效地评估信息安全风险,保护重要信息的安全。

信息安全风险评估指南

信息安全风险评估指南

信息安全风险评估指南
介绍
信息安全风险评估是评估组织信息系统及其相关资源所面临的潜在风险的过程。

本指南旨在提供一个简单而有效的方法,以帮助组织进行信息安全风险评估。

步骤
第一步:确定评估范围
首先,要明确评估的范围。

确定评估的范围有助于组织明确评估的目标,确保评估的全面性。

第二步:识别潜在风险
在这一步骤中,需要识别可能存在的潜在风险。

可以通过收集和分析组织的信息系统、网络结构、数据流程等相关信息来识别潜在风险。

第三步:评估风险的可能性和影响
在确定潜在风险后,需要评估这些风险的可能性和影响程度。

可以使用合适的评估工具和技术,如风险矩阵、定量分析等来进行评估。

第四步:确定风险等级
根据评估结果,确定每个潜在风险的风险等级。

风险等级可以基于可能性和影响的组合来确定。

第五步:建立风险应对策略
根据风险等级,制定相应的风险应对策略。

这包括预防措施、应急响应计划、恢复策略等,以减轻风险的潜在影响。

第六步:监测和更新
信息安全风险评估是一个持续的过程。

组织应该定期监测和更新评估结果,以确保有效应对新出现的风险。

总结
通过本指南提供的步骤,组织可以进行简单而有效的信息安全风险评估。

评估的结果可以帮助组织识别并应对潜在风险,从而提高信息系统的安全性和可信度。

参考文献:
- 张三, 李四. 信息安全风险评估实施指南. 2018.
- 信息安全风险评估方法与应用. 信息安全杂志, 2019, 36(2): 45-50.。

信息安全风险评估作业指导书

信息安全风险评估作业指导书
一、概述
本作业指导书旨在规范信息安全风险评估工作,确保评估过程的科学性、客观性和准确性。

本指导书依据国家和行业标准,结合实际情况制定,用于指导评估人员开展信息安全风险评估工作。

二、评估目的
通过对信息系统的安全风险进行全面、客观的评估,发现潜在的安全隐患和漏洞,为组织的信息安全管理工作提供依据和建议,提高组织的信息安全防护能力。

三、评估范围
1. 信息系统的资产识别,包括硬件、软件、数据等;
2. 信息系统的安全控制措施,包括物理安全、网络安全、应用安全等;
3. 信息系统面临的威胁和风险,包括内部威胁、外部威胁等;
4. 信息系统安全事件的影响范围和可能造成的损失。

四、评估方法
1. 资产识别:采用问卷调查、实地考察等方法,对信息系统的资产进行全面梳理和识别;
2. 安全控制措施检查:通过检查安全管理制度、技术防范措施等,评估安全控制措施的有效性;
3. 威胁分析:分析信息系统面临的威胁和风险,包括威胁来源、威胁方式和影响程度等;
4. 风险评估:根据资产的重要性和威胁的可能性,评估信息系统的安全风险;
5. 风险处理:根据风险评估结果,提出相应的风险处理措施和建议。

五、评估流程
1. 前期准备:明确评估目的、范围和要求,组建评估团队,制定评估计划;
2. 资产识别:收集资产信息,进行资产梳理和分类;
3. 安全控制措施检查:对安全控制措施进行检查和测试;
4. 威胁分析:分析信息系统面临的威胁和风险;
5. 风险评估:根据资产重要性和威胁可能性,进行风险评估;
6. 风险处理:提出风险处理措施和建议;
7. 编写评估报告:汇总评估结果,编写评估报告。

信息安全风险评估与控制指南及信息安全管理制度及信息安

信息安全风险评估与控制指南及信息安全管理制度及信息安情安全是当前各行业发展态势下所面临的重要问题之一。

信息安全风险评估与控制是保障信息系统和数据安全的关键环节,同时信息安全管理制度也是企业建立健全信息安全体系的基础。

本文将从信息安全风险评估与控制指南以及信息安全管理制度两个方面进行探讨,为企业提供科学可行的解决方案。

一、信息安全风险评估与控制指南信息安全风险评估是识别、分析和评估信息系统存在的安全风险,以确定其对企业的威胁程度并制定相应的风险控制策略。

下面将从三个方面介绍信息安全风险评估与控制指南。

1. 信息资产风险评估信息资产是信息系统的核心财产,其价值和重要性不言而喻。

企业应该对其进行风险评估,包括评估信息资产的价值、风险的概率和影响程度等。

评估结果可作为企业制定优先级和控制策略的依据。

2. 安全威胁评估安全威胁是指可能导致信息系统遭到破坏、泄露或失效的事件或行为。

企业应该识别并分析可能面临的各类安全威胁,并对其进行风险评估。

评估结果可以帮助企业了解各类威胁的危害程度,为制定相应的防范措施提供依据。

3. 风险控制策略根据信息资产风险评估和安全威胁评估结果,企业需要制定相应的风险控制策略。

风险控制策略包括技术措施、管理措施和组织措施等。

企业应根据实际情况选择相应的措施,并确保其有效实施,以最大程度地减少信息安全风险。

二、信息安全管理制度及信息安全管理推进机制信息安全管理制度是企业建立健全信息安全体系的重要保障,它规范了信息安全管理的各个方面。

下面将从两个方面介绍信息安全管理制度及信息安全管理推进机制。

1. 信息安全管理制度企业应建立完善的信息安全管理制度,明确安全责任、安全目标、安全流程和安全要求等内容。

制度应包括管理权限的划分、操作规范的制定、安全意识教育的开展等方面,以确保信息安全管理的连续性和有效性。

2. 信息安全管理推进机制为了推动信息安全管理的落实,企业需要建立完善的信息安全管理推进机制。

企业信息安全管理中的风险评估及防控指南

企业信息安全管理中的风险评估及防控指南随着信息技术的快速发展与普及,企业信息安全问题日益突出。

信息安全的保护已成为企业发展的重要组成部分,而风险评估与防控则是确保企业信息安全的关键步骤。

本文将介绍企业信息安全风险评估的重要性,以及相应的防控指南,帮助企业建立有效的信息安全管理措施。

一、企业信息安全风险评估的重要性1. 识别潜在风险:风险评估能帮助企业系统地识别、分析和评估潜在的安全风险。

通过对企业整体信息系统进行透彻的风险评估,可以发现潜在的信息安全漏洞和威胁,提前采取相应措施进行防范。

2. 了解风险影响:风险评估不仅可以确定潜在风险,还可以评估其对企业运营和利益的影响程度。

这有助于企业更好地了解信息安全风险的严重性,并对其进行相应的优先级排序和处理。

3. 明确防控措施:通过风险评估,企业可以清晰地了解当前存在的安全风险,并制定相应的防控策略和措施。

这有助于企业有针对性地加强弱点的控制和防范,提高信息系统的安全性。

二、企业信息安全风险评估的步骤1. 确定评估目标:明确评估的目标和范围,包括评估的对象、评估的时间周期和评估所需资源等。

同时,也需要明确评估的标准与依据,以保证评估结果的准确性和可比性。

2. 收集信息:收集企业现有的信息安全政策、流程和控制措施等相关文档,了解企业信息系统的架构、关键业务流程和数据存储等情况。

同时,还需进行对外环境和内部资源的评估,以确定潜在的风险和威胁来源。

3. 评估风险:根据收集到的信息,对企业信息系统进行风险评估。

这包括分析已有的安全控制措施的有效性、检查系统漏洞和弱点、评估内部员工的安全意识以及检测外部威胁等。

4. 评估风险的影响与可能性:针对发现的风险,评估其对企业运营和利益的潜在影响以及发生的可能性。

这有助于确定风险的优先级,为后续的防控工作提供指导。

5. 制定防控措施:根据风险评估的结果,制定相应的防控策略与措施。

这包括完善信息安全管理制度、加强技术防护手段、加强员工的安全教育与培训、建立安全事件响应机制等。

信息安全技术 网络安全风险评估指南

信息安全技术网络安全风险评估指南下载提示:该文档是本店铺精心编制而成的,希望大家下载后,能够帮助大家解决实际问题。

文档下载后可定制修改,请根据实际需要进行调整和使用,谢谢!本店铺为大家提供各种类型的实用资料,如教育随笔、日记赏析、句子摘抄、古诗大全、经典美文、话题作文、工作总结、词语解析、文案摘录、其他资料等等,想了解不同资料格式和写法,敬请关注!Download tips: This document is carefully compiled by this editor. I hope that after you download it, it can help you solve practical problems. The document can be customized and modified after downloading, please adjust and use it according to actual needs, thank you! In addition, this shop provides you with various types of practical materials, such as educational essays, diary appreciation, sentence excerpts, ancient poems, classic articles, topic composition, work summary, word parsing, copy excerpts, other materials and so on, want to know different data formats and writing methods, please pay attention!网络安全风险评估指南随着信息技术的发展,网络安全已成为企业和组织面临的重要挑战之一。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

海军计算技术研究所 公安部信息安全标委会委员 国家信息化咨询委员会 中科院信息安全技术工程研究中心 国家保密技术研究所 公安部十一局 国家信息化咨询委员会
22
与会专家听取了起草小组的编制说明及内容介绍,审阅了 会专家听取了起草小组的编制说明及内容介绍, 相关文档资料,经质询和讨论,一致认为: 相关文档资料,经质询和讨论,一致认为:
13
整个试点工作历时7个月,各试点单位对标准草案 个试点工作历时7个月,
先后提出40 多条补充修改意见,标准起草组根据试点结果 先后提出 多条补充修改意见,标准起草组根据试点结果 先后进行了三次较大规模的修改.主要内容包括: 先后进行了三次较大规模的修改.主要内容包括: --细化了资产的分类方法,脆弱性的识别要求,修 细化了资产的分类方法, 细化了资产的分类方法 脆弱性的识别要求, 改并细化了风险计算的方法; 改并细化了风险计算的方法; --对自评估,检查评估不同评估形式的内容与实施 对自评估, 对自评估 的重点进行了区分; 的重点进行了区分; --对风险评估的工具进行了梳理和区分,形成了现 对风险评估的工具进行了梳理和区分, 对风险评估的工具进行了梳理和区分 在的几种类型; 在的几种类型; --细化了生命周期不同阶段风险评估的主要内容. 细化了生命周期不同阶段风险评估的主要内容. 细化了生命周期不同阶段风险评估的主要内容 试点实践证明,试行标准基本满足各试点单位评估工 试点实践证明, 作的需求. 作的需求.
送审稿规范了风险评估的评估内容与范围,基本概念, 一,送审稿规范了风险评估的评估内容与范围,基本概念,明确 了资产,威胁, 了资产,威胁,脆弱性和安全风险等关键要素及其赋值原则和 要求,提出了实施流程与操作步骤,评估规则与基本方法, 要求,提出了实施流程与操作步骤,评估规则与基本方法,并 充分考虑与信息安全等级保护相关标准相衔接. 充分考虑与信息安全等级保护相关标准相衔接. 送审稿的操作性较强,对开展风险评估工作具有指导作用, 二,送审稿的操作性较强,对开展风险评估工作具有指导作用, 并在国务院信息办组织的风险评估试点中得到了进一步的实践 验证和充实完善. 验证和充实完善. 文本的编制符合国家标准GB1.1的要求. GB1.1的要求 三,文本的编制符合国家标准GB1.1的要求. 专家组认为送审稿达到国家标准送审稿的要求, 专家组认为送审稿达到国家标准送审稿的要求,同意通过评 建议起草组根据专家意见尽快修改完善后申报. 审.建议起草组根据专家意见尽快修改完善后申报.
4
一,标准的编制过程
1,前期研究准备 2,标准草案编制 3,试点实践检验 4,专家评审论证 ,
5
1,前期研究准备 ,
2003年7月, 中办发[2003]27号文件对开展信息 中办发[2003]27 [2003]27号文件对开展信息
安全风险评估工作提出了明确的要求.国信办委托国家信 安全风险评估工作提出了明确的要求. 息中心牵头,成立了国家信息安全风险评估课题组, 息中心牵头,成立了国家信息安全风险评估课题组,对信 息安全风险评估相关工作展开调查研究. 息安全风险评估相关工作展开调查研究.课题组利用半年 多的时间,对我国信息安全风险评估现状进行了深入调查, 多的时间,对我国信息安全风险评估现状进行了深入调查, 掌握了第一手情况;对国内外相关领域的理论进行了学习, 掌握了第一手情况;对国内外相关领域的理论进行了学习, 分析和研究,查阅了大量的相关资料, 分析和研究,查阅了大量的相关资料,基本了解了此领域 的国际前沿动态. 的国际前沿动态.这些都为标准编制工作奠定了良好的基 础.
6
统一的风险评估技术标准是规范开展信息安全风
险评估工作的必备条件.落实中办发27号文件, 27号文件 险评估工作的必备条件.落实中办发27号文件,全面推进 我国的信息安全风险评估工作, 我国的信息安全风险评估工作,首先就必须解决我国缺乏 统一的风险评估技术标准的问题. 统一的风险评估技术标准的问题. 为此,国信办领导根据专家们的建议, 为此,国信办领导根据专家们的建议,决定着手开展 信息安全风险评估国家标准的编制工作及相关实践活动. 信息安全风险评估国家标准的编制工作及相关实践活动. 旨在通过这项工作更好地加强国家基础网络和重要信息系 统的风险评估及管理工作,使其流程更加科学,统一, 统的风险评估及管理工作,使其流程更加科学,统一,规 有效. 范,有效.
14
一,标准的制定过程
1,前期研究准备 2,标准草案编制 3,试点实践检验 4,专家评审论证 ,
15
4,专家评审论证 ,
2005年9月16日,国家信息中心在北京组织召开 16日
了由周仲义院士主持的《信息安全风险评估指南( 了由周仲义院士主持的《信息安全风险评估指南(征求意 见稿) 第一次专家评审会. 见稿)》第一次专家评审会.
16
第一次专家评审会名单
姓 名 周仲义 熊四皓 王娜 姚世权 贾颖禾 崔书昆 景乾元 李建彬 张宏伟 姚丽旋 肖京华 冯惠 吴伟 詹榜华 单 位 职务/ 职务/职称 院士 处长 处长 研究员 副秘书长/研究员 委员/研究员 处长 副处长 处长 处长 处长 副主任/高工 处长 总经理 17
中国工程院 国务院信息办 国家发改委高科技司 中国标准化协会 全国信息安全标准化技术委员会 国家信息化专家咨询委员会 公安部十一局 国税总局信息中心 黑龙江省信息产业厅 上海市信息化管理委员会 总参三部三局 中国电子技术标准化研究所 国家电网公司 北京市CA中心
与会专家认为标准起草组做了大量卓有成效的工作, 会专家认为标准起草组做了大量卓有成效的工作,
标准的结构合理,内容完备,可操作性强, 标准的结构合理 , 内容完备 , 可操作性强 , 并充分考虑与信 息安全等级保护相关标准相衔接. 息安全等级保护相关标准相衔接 . 文本的编制符合国家标准 的要求. 同时, 的要求 . 同时 , 专家们也对完善标准提出了进一步的修改意 见.
7
一,标准的编制过程
1,前期研究准备 2,标准草案编制 3,试点实践检验 4,专家评审论证 ,
8
2,标准草案编制
根据国信办的指示和信安标委的具体要求,国家信息 据国信办的指示和信安标委的具体要求,
中心组织国家保密技术研究所,公安部三所, 中心组织国家保密技术研究所,公安部三所,北京信息安全 测评中心,上海市测评认证中心, 测评中心,上海市测评认证中心,信息安全国家重点实验室 以及BJCA,上海三零卫士,联想,天融信,启明星辰, 以及BJCA,上海三零卫士,联想,天融信,启明星辰,绿 科飞,凝瑞等国内十几家企事业单位于2004年 29日 盟,科飞,凝瑞等国内十几家企事业单位于2004年3月29日 正式启动标准草案的编制工作.此后, 正式启动标准草案的编制工作.此后,中国信息安全产品测 评认证中心,解放军信息技术安全研究中心, 评认证中心,解放军信息技术安全研究中心,航天部二院七 O六所等单位也参与了标准的编制与起草. 六所等单位也参与了标准的编制与起草. 起草组在前期准备工作的基础上,经过多次研究探讨, 起草组在前期准备工作的基础上,经过多次研究探讨, 确定了编制标准应遵循的原则 遵循的原则: 确定了编制标准应遵循的原则:
10
在标准编制的过程中,标准起草组多次与相关主管 标准编制的过程中,
部门所属机构的专家代表就技术标准有关主体内容进行会 向相关单位发放标准文本, 商;向相关单位发放标准文本,通过电子邮件等形式广泛 征求业界意见;召开标准讨论会议三十几次,共收集100 征求业界意见 ; 召开标准讨论会议三十几次 , 共收集 100 多条修改意见. 多条修改意见. 起草组逐一对修改意见进行研究, 起草组逐一对修改意见进行研究,在充分吸纳合理成 份的基础上, 信息安全风险评估规范》 份的基础上,对《信息安全风险评估规范》等标准进行了 较大幅度的修改,使标准的体系结构更趋完善,合理. 较大幅度的修改,使标准的体系结构更趋完善,合理.
11
一,标准的制定过程
1,前期研究准备 2,标准草案编制 3,试点实践检验 4,专家评审论证 ,
12
3,试点实践检验 ,
2005年2月, 根据国信办[2005]4号和5号文件, 根据国信办 2005] 号和5 号文件, 国信办[
关于在银行,税务,电力等部门和电子政务外网, 关于在银行,税务,电力等部门和电子政务外网,以及北 上海,黑龙江,云南等省市, 京,上海,黑龙江,云南等省市,开展信息安全风险评估 试点工作的要求, 试点工作的要求,标准起草组配合风险评估试点工作专家 组开展了以下工作: 组开展了以下工作: --为各试点单位提供标准草案文本和相关说明; 为各试点单位提供标准草案文本和相关说明; 为各试点单位提供标准草案文本和相关说明 --在试点准备阶段与各试点单位的技术骨干进行标 在试点准备阶段与各试点单位的技术骨干进行标 准技术交流; 准技术交流; --根据标准草案文本涉及的关键技术,起草组成员 根据标准草案文本涉及的关键技术, 根据标准草案文本涉及的关键技术 选择试点环节参与实际试点; 选择试点环节参与实际试点; --在试点过程中,先后几次召开标准研讨会,征求 在试点过程中, 在试点过程中 先后几次召开标准研讨会, 各单位对标准的意见与建议. 各单位对标准的意见与建议.
全国信息安全标准化技术委员会 国家信息化咨询委员会 国家信息化咨询委员会 信息安全863项目专家组组长 中国信息安全产品测评认证中心 国家信息化咨询委员会 公安部十一局 解放军信息安全测评中心 全国信息安全标准化技术委员会 中国信息安全产品测评认证中心 中石油经济技术中心 民航总局人事科技司 航天科技集团706所 中国工商银行总行信息科技部
20
2005年12月14日,由安标委第五工作组主持召开了 12月14日
由沈昌祥院士为专家组组长的信息安全风险评估国家标准送 审稿的专家评审会. 审稿的专家评审会.
21
专家评审会名单
姓 名 沈昌祥 吉增瑞 赵战生 卿斯汉 杜虹 景乾元 崔书昆 单 位 职务/ 职务/职称 院士 研究员 研究员 研究员 所长 处长 研究员