信息安全风险评估标准及试点工作情况介绍范红课件

1、SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 信息安全风险评估标准及试点工作情况介绍范红1国家信息安全风险评估工作情况介绍报告人:二00五年五月信息安全风险评估标准及试点工作情况介绍范红2汇报内容汇报内容一、国家风险评估前期工作概述一、国家风险评估前期工作概述二、风险评估标准编制情况介绍二、风险评估标准编制情况介绍三、风险评估标准内容简介三、风险评估标准内容简介四、风险评

2、估试点工作情况介绍四、风险评估试点工作情况介绍五、下一步的工作考虑五、下一步的工作考虑信息安全风险评估标准及试点工作情况介绍范红3一、国家风险评估前期工作概述一、国家风险评估前期工作概述 为了贯彻落实中办发为了贯彻落实中办发200327200327号文件的精神，国信办号文件的精神，国信办委托国家信息中心牵头，会同公安部委托国家信息中心牵头，会同公安部, ,保密局保密局, ,中科院和解中科院和解放军等部门组织专家成立了风险评估课题组。课题组的宗放军等部门组织专家成立了风险评估课题组。课题组的宗旨是以信息安全风险为切入点旨是以信息安全风险为切入点, ,全面了解我国信息安全建设全面了解我国信息安全建

3、设现状现状, ,发现问题并寻找应对措施发现问题并寻找应对措施。课题组在课题组在2003年下半年对年下半年对北京北京,上海上海,广州和深圳四个地区的十几个行业的五十多家企广州和深圳四个地区的十几个行业的五十多家企事单位进行了广泛的调研与走访事单位进行了广泛的调研与走访,完成了我国信息安全风险完成了我国信息安全风险评估调查报告评估调查报告,同时同时,课题组对国内外信息安全风险评估工作课题组对国内外信息安全风险评估工作进行了系统的理论梳理进行了系统的理论梳理,所完成的信息安全风险评估研究报所完成的信息安全风险评估研究报告做为告做为2004年年1月在北京召开全国第一次信息安全保障大会月在北京召开全国第

4、一次信息安全保障大会的传阅文件的传阅文件。在这次大会黄菊同志的讲话中要求大家重视。在这次大会黄菊同志的讲话中要求大家重视风险评估工作风险评估工作, ,并将风险评估列为我国信息安全保障体系建并将风险评估列为我国信息安全保障体系建设要抓的五项基础性工作之一设要抓的五项基础性工作之一。信息安全风险评估标准及试点工作情况介绍范红4一、国家风险评估前期工作概述一、国家风险评估前期工作概述 为了进一步推动信息安全风险评估工作，在为了进一步推动信息安全风险评估工作，在20032003年年工作基础上，国信办决定工作基础上，国信办决定20042004年继续委托国家信息中心年继续委托国家信息中心组织信息安全风险评

5、估课题组下一阶段的工作。组织信息安全风险评估课题组下一阶段的工作。为了将已有工作做深做实为了将已有工作做深做实, ,并为下一步国家出台风并为下一步国家出台风险评估指导意见以及进行国家重要信息系统和基础网络险评估指导意见以及进行国家重要信息系统和基础网络的风险评估试点工作做准备，根据国信办领导的指示，的风险评估试点工作做准备，根据国信办领导的指示，课题组在课题组在20042004年上半年启动了风险评估指南和风险管理年上半年启动了风险评估指南和风险管理指南等标准的编制工作。旨在通过这项工作更好地加强指南等标准的编制工作。旨在通过这项工作更好地加强信息安全风险评估及管理，使其流程更加科学、规范和信息

6、安全风险评估及管理，使其流程更加科学、规范和有效，从而促进我国信息安全保障体系的建立，进而推有效，从而促进我国信息安全保障体系的建立，进而推动我国信息化的建设历程。动我国信息化的建设历程。信息安全风险评估标准及试点工作情况介绍范红5二、风险评估标准编制情况介绍二、风险评估标准编制情况介绍 自任务下达后，自任务下达后，国家信息中心组织国内十几家从事过国家信息中心组织国内十几家从事过安全风险评估工作的单位开展了信息安全风险评估标准规安全风险评估工作的单位开展了信息安全风险评估标准规范的制定工作范的制定工作,对当前大家在评估实践工作默认的共同规对当前大家在评估实践工作默认的共同规范进行归纳、总结、简

7、化与提升。范进行归纳、总结、简化与提升。 标准编制工作于标准编制工作于20042004年年3 3月月2929日正式启动，整个撰写工日正式启动，整个撰写工作分为作分为前期准备阶段、提纲编制阶段、任务细化阶段、整前期准备阶段、提纲编制阶段、任务细化阶段、整合完成阶段等阶段，合完成阶段等阶段，历时一年历时一年先后完成先后完成与与的征求意见稿。的征求意见稿。信息安全风险评估标准及试点工作情况介绍范红6标准编制原则标准编制原则 （1 1）立足于我国当前信息化建设现状，对我国信息）立足于我国当前信息化建设现状，对我国信息安全风险评估方法进行总结、归纳、简化与提升，注重安全风险评估方法进行总结、归纳、简化与

8、提升，注重吸纳国外相关领域的先进成果并为我所用吸纳国外相关领域的先进成果并为我所用, ,使其本土化。使其本土化。 （2)2)可操作性和实用性。标准是对实际工作的总结与可操作性和实用性。标准是对实际工作的总结与提升，但最终还要用于实践，要经得起实践的检验。因提升，但最终还要用于实践，要经得起实践的检验。因此要可用，可操作。此要可用，可操作。 （3)3)注重吸收主管部门在评估方面已有的经验与成果注重吸收主管部门在评估方面已有的经验与成果。如等级保护、保密检查和产品测评等。如等级保护、保密检查和产品测评等。 （4)4)科学性与前瞻性。评估标准中要体现科学性。所科学性与前瞻性。评估标准中要体现科学性。

9、所提供的方法要可信，要具有引领的作用。提供的方法要可信，要具有引领的作用。信息安全风险评估标准及试点工作情况介绍范红7三、风险评估标准内容简介三、风险评估标准内容简介 1 1、评估指南内容简介、评估指南内容简介 2 2、管理指南内容简介、管理指南内容简介 信息安全风险评估标准及试点工作情况介绍范红8三、风险评估标准内容简介三、风险评估标准内容简介 1 1、评估指南内容简介、评估指南内容简介 2 2、管理指南内容简介、管理指南内容简介 信息安全风险评估标准及试点工作情况介绍范红91、风险评估指南内容简介、风险评估指南内容简介 包括指南文本包括指南文本和附录两部分。其中指南文本由一个前言和和附录两

10、部分。其中指南文本由一个前言和8 8章内容组成，分为以下几部分：章内容组成，分为以下几部分： 1 1、概述部分；、概述部分； 2 2、模型与流程部分；、模型与流程部分； 3 3、实施部分；、实施部分； 4 4、关联部分。、关联部分。 附录部分由二个附录组成。附录部分由二个附录组成。信息安全风险评估标准及试点工作情况介绍范红10风险评估的定义风险评估的定义 信息系统的安全风险，是指由于系统存在的脆弱信息系统的安全风险，是指由于系统存在的脆弱性，人为或自然的威胁导致安全事件发生所造成的影响。性，人为或自然的威胁导致安全事件发生所造成的影响。信息安全风险评估，则是指依据国家有关信息安全技术信息安全风

11、险评估，则是指依据国家有关信息安全技术标准，对信息系统及由其处理、传输和存储的信息的保标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程，密性、完整性和可用性等安全属性进行科学评价的过程，它要评估信息系统的脆弱性、信息系统面临的威胁以及它要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后安全事件发生的可能性，并结合脆弱性被威胁源利用后安全事件发生的可能性，并结合资产的重要程度来识别信息系统的安全风险。资产的重要程度来识别信息系统的安全风险。信息安全风险评估标准及试点工作情况介绍范红11术语及定义术语及定义资产资产价值价值威胁威胁脆弱

12、性脆弱性风险风险残余风险残余风险风险评估风险评估可用性可用性保密性保密性完整性完整性业务战略业务战略安全事件安全事件安全需求安全需求安全措施安全措施自评估自评估检查评估检查评估信息安全风险评估标准及试点工作情况介绍范红12风险评估要素关系模型风险评估要素关系模型安全措施 抗击业务战略脆弱性安全需求威胁风险残余风险安全事件依赖拥有被满足利用暴露降低增加增加增加导出演变 未被满足未控制可能诱发残留成本资产资产价值信息安全风险评估标准及试点工作情况介绍范红13风险计算模型风险计算模型资产拥有者威胁来源信息资产威胁弱点安全事件安全风险（风险值）信息安全风险评估标准及试点工作情况介绍范红14风险评估实施

13、流程风险评估实施流程否是否是风险评估的准备已有安全措施的确认风险计算风险是否接受保持已有的控制措施选择适当的控制措施并评估残余风险实施风险管理脆弱性识别威胁识别资产识别是否接受残余风险 风险识别评估过程文档评估过程文档风险评估结果记录评估结果文档信息安全风险评估标准及试点工作情况介绍范红15 风险评估的形式及角色运用风险评估的形式及角色运用 评估评估指南根据评估的发起方的不同，将风险评估形式指南根据评估的发起方的不同，将风险评估形式分为自评估和分为自评估和检查检查评估两大类。自评估是由被评估信息系评估两大类。自评估是由被评估信息系统的拥有者发起的，并依靠自身的力量，对其自身的信息统的拥有者发起

14、的，并依靠自身的力量，对其自身的信息系统进行的风险评估活动。系统进行的风险评估活动。检查检查评估则通常是被评估信息评估则通常是被评估信息系统的拥有者的上级主管机关或业务主管机关发起的，旨系统的拥有者的上级主管机关或业务主管机关发起的，旨在依据已经颁布的法规或标准进行的，具有强制意味的检在依据已经颁布的法规或标准进行的，具有强制意味的检查活动，是通过行政手段加强信息安全的重要措施查活动，是通过行政手段加强信息安全的重要措施。信息信息安全风险评估服务机构安全风险评估服务机构可为可为自评估和自评估和检查检查评估评估提供提供风险评风险评估的咨询、培训估的咨询、培训等服务等服务以及以及提供提供风险评估风

15、险评估的的有关工具有关工具和手和手段段。 信息安全风险评估标准及试点工作情况介绍范红16在风险评估指南的文本部分，我们试图给出进行在风险评估指南的文本部分，我们试图给出进行风险评估的一个路线图（实施流程），以及这个路线风险评估的一个路线图（实施流程），以及这个路线图中包括的若干关键点（关键步骤）和从一个关键点图中包括的若干关键点（关键步骤）和从一个关键点到另一个关键点的原则。这些也是参与编制工作的人到另一个关键点的原则。这些也是参与编制工作的人员共同讨论的结果。这也体现了做为国家标准对于通员共同讨论的结果。这也体现了做为国家标准对于通用规律的把握。同时，为了避免过程的僵硬，以及体用规律的把握。

16、同时，为了避免过程的僵硬，以及体现评估中定量与定性的结合的特点，对于一些具体的现评估中定量与定性的结合的特点，对于一些具体的实现细节指南进行了开放性地处理，放到了附录部分。实现细节指南进行了开放性地处理，放到了附录部分。即在附录中给出了当前较为常用的风险计算方法与工即在附录中给出了当前较为常用的风险计算方法与工具以供选择，此部分将随着技术的发展而不断更新。具以供选择，此部分将随着技术的发展而不断更新。信息安全风险评估标准及试点工作情况介绍范红17三、风险评估标准内容简介三、风险评估标准内容简介 1 1、评估指南内容简介、评估指南内容简介 2 2、管理指南内容简介、管理指南内容简介 信息安全风险

17、评估标准及试点工作情况介绍范红182、风险管理指南内容简介、风险管理指南内容简介 的文本由一个前言和的文本由一个前言和1414个章节组成，主要包括以下几方面的内容：个章节组成，主要包括以下几方面的内容：1 1、 信息安全风险管理的目的和意义信息安全风险管理的目的和意义2 2、 信息安全风险管理的范围和对象信息安全风险管理的范围和对象3、 信息安全风险管理的角色和责任信息安全风险管理的角色和责任4 4、 信息安全风险管理的内容和过程信息安全风险管理的内容和过程5 5、 风险管理在信息系统生命周期不同阶段的运用风险管理在信息系统生命周期不同阶段的运用信息安全风险评估标准及试点工作情况介绍范红19信

18、息安全风险管理的目的和意义信息安全风险管理的目的和意义 信息安全风险管理是信息安全保障工作中的一信息安全风险管理是信息安全保障工作中的一项基础性工作项基础性工作 。（1 1）信息安全风险管理体现在信息安全保障体系）信息安全风险管理体现在信息安全保障体系的技术、组织和管理等方面。的技术、组织和管理等方面。 （2 2）信息安全风险管理贯穿信息系统生命周期的）信息安全风险管理贯穿信息系统生命周期的全部过程。全部过程。 （3 3）信息安全风险管理依据等级保护的思想和适）信息安全风险管理依据等级保护的思想和适度安全的原则，平衡成本与效益，合理部署和利用信度安全的原则，平衡成本与效益，合理部署和利用信息安

19、全的信任体系、监控体系和应急处理等重要的基息安全的信任体系、监控体系和应急处理等重要的基础设施，确定合适的安全措施，从而确保机构具有完础设施，确定合适的安全措施，从而确保机构具有完成其使命的信息安全保障能力。成其使命的信息安全保障能力。信息安全风险评估标准及试点工作情况介绍范红20信息安全风险管理的范围和对象信息安全风险管理的范围和对象信息安全风险评估标准及试点工作情况介绍范红21风险管理的内容和过程风险管理的内容和过程 信息安全风险评估标准及试点工作情况介绍范红22三维结构关系三维结构关系 信息安全风险评估标准及试点工作情况介绍范红23四、风险评估试点工作情况介绍四、风险评估试点工作情况介绍

20、 1 1、整体工作介绍、整体工作介绍2 2、专家组的工作安排、专家组的工作安排3 3、规划与设计阶段风险评估实施细则、规划与设计阶段风险评估实施细则信息安全风险评估标准及试点工作情况介绍范红241、整体工作介绍、整体工作介绍 在前述工作的基础上，为制定在前述工作的基础上，为制定提供实践依据提供实践依据，以及在实践中进一步修改完善两项国家标准，以及在实践中进一步修改完善两项国家标准，国信办联合有关部门和地方在，国信办联合有关部门和地方在20052005年对银行年对银行、税务、电力、国家电子政务外网等重要信息、税务、电力、国家电子政务外网等重要信息系统和关键基础设施以及北京市、上海市、黑系统和关键

21、基础设施以及北京市、上海市、黑龙江省、云南省等地方的电子政务系统启动了龙江省、云南省等地方的电子政务系统启动了风险评估试点工作。风险评估试点工作。信息安全风险评估标准及试点工作情况介绍范红25 试点工作分为准备阶段、实施阶段和总结阶段，工作试点工作分为准备阶段、实施阶段和总结阶段，工作时间为时间为8 8个月。各试点单位将依据个月。各试点单位将依据和和，结合自身的具体情，结合自身的具体情况，选择相应的风险评估方法和适当的工具，制定风险况，选择相应的风险评估方法和适当的工具，制定风险评估实施方案，并在评估实践中进一步检验标准的完备评估实施方案，并在评估实践中进一步检验标准的完备性和适用性，同时摸索

22、国家进一步开展风险评估工作的性和适用性，同时摸索国家进一步开展风险评估工作的实践经验。试点工作中还将检验自评估、检查评估等不实践经验。试点工作中还将检验自评估、检查评估等不同信息安全风险评估工作模式的实践效果，为国家信息同信息安全风险评估工作模式的实践效果，为国家信息安全主管部门制定信息安全管理政策提供客观依据；了安全主管部门制定信息安全管理政策提供客观依据；了解和掌握被评估的信息系统的安全风险状况，为信息系解和掌握被评估的信息系统的安全风险状况，为信息系统的使用管理部门制定安全策略、采取安全措施提供决统的使用管理部门制定安全策略、采取安全措施提供决策建议。策建议。信息安全风险评估标准及试点工

23、作情况介绍范红262、专家组的工作安排、专家组的工作安排 为了完成两项国标的修改与完善工作，在国信办原有的为了完成两项国标的修改与完善工作，在国信办原有的风险评估课题组的基础上，成立了国信办风险评估试点工作风险评估课题组的基础上，成立了国信办风险评估试点工作专家组，其主要任务为：专家组，其主要任务为：在准备阶段组织八个试点单位的相关人员进行培训，明在准备阶段组织八个试点单位的相关人员进行培训，明确风险评估流程和风险评估准备阶段的任务，协助试点单位确风险评估流程和风险评估准备阶段的任务，协助试点单位制定其风险评估实施方案。制定其风险评估实施方案。在实施阶段到各试点单位调研，选择重点行业的单位进在实施阶段到各试点单位调研，选择重点行业的单位进行阶段性的蹲点，广泛调研其试点方案实施情况，了解各单行阶段性的蹲点，广泛调研其试点方案实施情况，了解各单位在试点过程中对评估及管理的流程、方法、工具和手段的位在试点过程中对评估及管理的流程、方法、工具和手段的使用存在的问题，不断充实和完善标准。使用存在的问题，不断充实和完善标准。信息安全风险评估标准及试点工作情况介绍范红272、专家组的工作安排、专家组的工作安排 在总结阶段将汇总