安全风险评估指南ppt课件

信息安全风险评估国家标准的编制和内容介绍，范红二00六年九月，一、二，主要内容，一，标准编制过程二，标准主要内容三，下一工作要点思考，三，主要内容，一，标准编制过程二，标准主要内容三，下一工作要点思考，四，一，标准编制过程一，前期研究准备二，标准草案编制三， 试行实践检验4，专家考核论证，5，1，标准编制过程，1，前期研究准备2，标准草案编制3，试行实践检验4，专家考核论证，6，1，前期研究准备，2003年7月，中务发200327号文件对开展信息安全风险评价活动提出了明确要求。 国信办公室由国家信息中心主导，成立了国家信息安全风险评估课题组，对信息安全风险评估相关工作开展了调查研究。 课题组利用半年多的时间，深入调查了我国信息安全风险评估的现状，对掌握第一手情况的国内外相关领域理论进行了学习、分析和研究，查阅了大量相关资料，基本了解了该领域的国际前沿动态。 这些都为标准编制工作打下了良好的基础。 7、统一风险评估技术标准是规范信息安全风险评估工作的必要条件。 必须执行中务发27号文件，全面推进我国信息安全风险评估，首先解决我国缺乏统一风险评估技术标准的问题。 因此，国信事务领导人决定根据专家们的建议，制定信息安全风险评价国家标准，开展相关实践活动。 旨在通过这项工作进一步加强国家基础网络和关键信息系统的风险评估和管理，使其过程更加科学、统一、规范和有效。 8、1、标准编制过程1、前期研究准备2、标准草案编制3、试行实验4、专家审查论证9、国家信息中心组织国家保密技术研究所、公安部三所、北京信息安全评价中心、上海市评价认证中心、信息安全国家重点实验室、BJCA、 上海三零卫士、联想、天融信、启明星、绿盟、科飞、凝瑞等国内十多家事业单位于2004年3月29日正式启动标准。 之后，中国信息安全产品评价认证中心、解放军信息技术安全研究中心、宇宙部二院七o六所等也参加了标准的制定和起草。 起草小组在前期准备的基础上，经过反复讨论，制定标准必须遵循的原则： 2、2、准则草案编制，10，1、符合我国现行信息安全法律法规要求，认真贯彻加强27号文件信息安全风险评估的精神2 .立足于我国信息化建设实践，积极借鉴国际先进标准技术， 提出符合我国基础网络和重要信息系统工程建设需求的风险评估规范3 .针对网络和信息系统的整个生命周期，制定适应不同阶段特征和要求的风险评估实施方法4 .积极由信息安全相关主管部门和部门进行等级保护， 吸收保密检验和产品评价等工作经验和成果5，标准文本体系科学合理，表现清晰，具有可行性和可操作性。 十一、在编制标准过程中，标准起草小组多次与有关主管部门所属机构专家代表就技术标准的主体内容进行协商，向有关机构分发标准文本，召开三十多次以电子邮件等形式广泛征求行业意见的标准讨论会议，共收集了一百多条修订意见。 起草小组逐一研究了修正意见，在充分吸收合理成分的基础上，大幅度修正了信息安全风险评估规范等标准，使标准体系结构更加完善、合理。、12、一、标准的制定过程，1、前期研究准备2、标准草案编制3、试行实践检验4、专家审查论证、13、3、试行实践检验、2005年2月，根据国信阀20054号和5号文件，与银行、税务、电力等部门联系电子政务外网、北京、上海、黑龙江、 对云南等省市开展信息安全风险评估试点工作的要求，标准起草组与风险评估试点专家组合作开展了以下工作：- -在试点准备阶段与各试点单位技术骨干进行标准技术交流-基于标准草案文本的关键技术， 起草小组成员选择试验性环节参加实际考试-考试中多次召开标准研讨会，征求各部门对标准的意见和建议。 14、整个试验工作经过7个月，各试验部门对标准方案提出了40多条补充修正意见，标准起草组根据试验结果进行了3次大规模修正。 主要内容包括： -资产分类方法，细分漏洞识别要求，修改风险计算方法，细分-区分自我评估、检验评估不同评估形式的内容和实施重点-将风险评估工具与整理区分开，形成当前几种类型-细分生命周期不同阶段风险评估的主要内容试验实践证明，试验标准基本满足各试验单位考核工作的需要。 15、一、标准的制定过程1、前期研究准备2、标准草案编制3、试行实践检验4、专家评论16、2005年9月16日，国家信息中心在北京组织召开了周仲义院士主办的信息安全风险评估指南（征求意见稿）第一届专家评审会。 4、专家评审论证，17、第一批专家评审会名单，18、2005年10月27日，国家信息中心在北京组织召开了第二批专家评审会，征求信息安全风险评估国家标准的意见。 19、二级专家评审会名单20、参加专家认为标准起草组做了很多有效的工作，充分考虑了标准结构合理、内容完善、操作性强以及与信息安全水平保护标准的关系。 文本的编写符合国家标准的要求。 同时，专家们对准则的完善进一步修正了意见。 21、2005年12月14日，由安标委员会第五工作组主办，沈昌祥院士召开了专家组领导人信息安全风险评估国家标准审查专家审查会。22、专家评审会名单、23、与会专家听取起草小组的编制说明和内容介绍，审查相关文件资料，经过提问和讨论，一致提出评审，规范风险评估的内容和范围、基本概念，明确资产、威胁、脆弱性和安全风险等重要因素及其分配原则和要求，包括实施过程和二、提交审查的操作性强，对风险评估的实施具有指导作用，国务院信息办公室的风险评估试验得到了进一步的实践验证和充实。 三、编写文本符合国家标准GB1.1的要求。 专家认为审查员达到了国家标准审查员的要求，同意通过审查员。 起草小组建议根据专家意见尽快改善后申报。 24、2006年3月6日和3月16日，在国信举行的行业和省市风险评估政策文件两次宣传会议上，信息安全风险评估意见征集稿以国信事务文件的形式发布，为各行业和省市风险评估提供了技术依据。 25、2006年4月18日，全国信息安全标准化技术委员会第五工作组(WG5)在北京召开全工作组成员标准投票会议，对信息安全风险评估国家标准提交审查进行了全体工作组成员投票。 参加会议的30名专家听取了标准起草组指南的编制过程和主要内容介绍，投票一致通过了标准审查。26、2006年6月19日，全国信息安全标准化技术委员会秘书在北京组织召开了审查信息安全风险评价标准的专家审查会。 参加的专家经过提问和讨论，将标准正式命名为信息安全技术信息安全风险评估规范，认为该标准达到了国家标准审查的要求，并通过了审查。 会议后，国家信息中心进一步研究修改各起草机构和有关专家和标准规范的批准书，逐一执行专家意见。 27、2006年7月19日，全国信息安全标准化委员会主任的事务会上通过了信息安全技术信息安全风险评估规范 (批准申请书)，现在正在进行批准手续。 28、主要内容、一、标准的制定过程二、标准的主要内容三、下一个工作要点、29、二、标准的主要内容、1、风险评价是什么、风险评价是什么、30、二、标准的主要内容、1、风险评价是什么、风险评价是什么、风险评价是什么、31、1、风险评价是什么、信息信息安全风险评估是根据相关的信息安全技术和管理标准，评估信息系统及其处理、传输和存储信息的机密性、完整性和可用性等安全属性的过程。 必须利用资产面临的威胁和脆弱性来评估引发安全事件的可能性，并结合与安全事件相关的资产价值来判断安全事件对组织的影响。 32、风险评估元素关系图、椭圆部分的内容是与这些元素相关的属性。 风险评估必须围绕基本要素展开，充分考虑与基本要素相关的各种属性。 (1)业务战略的实现依赖于资产，依赖度越高，要求风险越小；(2)资产越有价值，组织对业务战略资产的依赖度越高，资产价值越大；(3)风险是由威胁引起的，资产面临的威胁越多，风险越大； 可能发展成安全事件的(4)资产脆弱性暴露资产的价值，资产具有的弱点越多风险就越大(5)不满足脆弱性的安全需求，是利用脆弱性危害资产的威胁(6)导出风险的存在和对风险的认识安全需求(7) 安全需求可以满足安全措施，必须结合资产价值考虑实施成本(8)安全措施抵制威胁，降低风险(9)剩馀风险是不受安全对策支配的风险。 部分安全措施不当或无效，在综合考虑安全成本和利益的基础上，有些风险需要加强可控风险(10 )剩馀风险受到密切监测，将来可能引发新的安全事件。 33、2、标准的主要内容，1、风险评估是2、为什么要进行风险评估3、风险评估是怎样的、34、2、为什么要进行风险评估，安全出于风险。 在信息化建设中，由于建设和运营的网络和信息系统可能存在的系统设计缺陷、硬件和软件设备隐性缺陷、系统集成时带来的缺陷以及可能存在的管理缺陷，特别是在网络和信息系统存在极为重要的信息资产的情况下35、风险评估不断深入发现系统建设中的安全危险，采取或完善更经济有效的安全措施，消除安全建设中的盲目乐观和恐惧，提出实用的解决办法，提高系统安全的科学管理水平，进一步全面提高网络和信息系统的安全保障能力36、信息安全风险评估从风险管理角度，运用科学的方法和手段，系统分析网络和信息系统面临的威胁及其存在的脆弱性，评估安全事件发生时的危害程度，提出防范威胁的保护措施和改进措施。 为防范和解决信息安全风险或将风险降到可接受水平，最大限度地保障网络和信息安全提供科学依据。 (国信阀20065号文件)、37、2、标准的主要内容、1、风险评估是什么、风险评估是什么、38、3、风险评估是什么、-风险评估实施过程-风险评估的形式-信息系统生命周期各阶段的风险评估、39、3、 什么是风险评价-风险评价实施过程-风险评价的形式-信息系统生命周期的各阶段的风险评价，40，风险评价的实施过程，事前准备要素分析风险分析文书记录，风险评价实施流程图，41，实施步骤，(1)风险评价的准备，(2)资产识别(3)威胁识别(3) 现有安全措施的确认(6)风险分析(7)风险评估文书记录、42-3、风险评估方法风险评估实施过程-风险评估的形式信息系统生命周期的各阶段风险评估、43、信息安全风险评估分为自我评估、检验评估两种形式。 以自我评价为主，自我评价和检验评价相互结合，相互补充。 自我评价和检测评价既可以根据自己的技术能力进行，也可以委托第三方机构进行技术支持。 风险评估的形式、44、自我评估和自我评估可以由发起方实施或委托风险评估服务技术支持。 发起方实施的评估可以降低实施费用，提高信息系统相关人员的安全意识，但由于风险评估专业技能不足，其结果可能不太准确，同时受到组织内各种因素的影响，其评估结果的客观性也容易受到影响。 风险评估服务依赖技术支持进行评估，过程规范、评估结果客观性较好、可靠，但受行业知识技能和业务理解的限制，对评估系统的理解，尤其是对业务特殊要求有限。 但是，由于引进第三者本身就是风险因素，必须控制背景和资质、评价过程和结果的保密要求等。 所谓自我评价的“自我”，不仅仅是自我评价的“自我”，还有自我评价的“自我”。 由于“谁负责”，信息系统负责人应该定期进行系统风险评估，具体实施可以由自己的评估团队进行，也可以委托合格的第三者进行评估服务技术支持，但任何形式的责任都由信息系统负责人自己负责。 因此，“自我”在自我评价中的意义是自我责任的“自我”。 包括自己负责系统的安全，自己开始评估信息系统的风险，自己负责保障系统安全的风险评估等。 46、为了保证风险评估的实施，与系统相关的相关人员也经常合作，给其他方面的使用带来困难，引入新的风险，必须严格管理实施检测评估机构的资质。 47、检测评估、检测评估是指信息系统高级管理部门组织或国家有关职能部门依法实施的风险评估。 检验评估可按照本标准要求，实施完整的风险评估过程。四十八、一是风险评估系统的机密信息，对于大量安全问题，完全委托第三方评估自身的风险。 第二，进行风险评估，评估者必须了解评估本身的方法和过程，并了解评估系统的业务特性。 这是对于完全从事评价的第三者来说，在短时间内理解各系统的业务特性是困难的第三点，风险评价工作流中，要求评价对象提供各种各样的信息，需要良好的相互作用和很多协商，仅靠评价对象的第三者无法完成系统评价。 基于以上原因，委托评价的技术支持比委托评价的提案方法更现实。 此外，提供委托评价的技术支持的机构必须具有相应的资质。 49、3、风险评估如何进行？ 风险评估实施过程-风险评估形式-信息系统生命周期各阶段的风险评估，50，20065号文件指出，信息安全风险评估必须贯穿网络和信息系统建设运营的全过程。 应在网络和信息系统的设计、检测和运行维护阶段进行信息安全风险评估。 在网络和信息系统规划设计阶段，必