信息安全风险评估国家标准编制

1信息安全风险评估国家标准编制及内容介绍2主要内容一、标准的编制过程二、标准的主要内容三、下一步工作的几点思考3主要内容一、标准的编制过程二、标准的主要内容三、下一步工作的几点思考4一、标准的编制过程1、前期研究准备2、标准草案编制3、试点实践检验4、专家评审论证5一、标准的编制过程1、前期研究准备2、标准草案编制3、试点实践检验4、专家评审论证6

1、前期研究准备

2003年7月,中办发[2003]27号文件对开展信息安全风险评估工作提出了明确的要求。国信办委托国家信息中心牵头，成立了国家信息安全风险评估课题组，对信息安全风险评估相关工作展开调查研究。课题组利用半年多的时间，对我国信息安全风险评估现状进行了深入调查，掌握了第一手情况；对国内外相关领域的理论进行了学习、分析和研究，查阅了大量的相关资料，基本了解了此领域的国际前沿动态。这些都为标准编制工作奠定了良好的基础。7

统一的风险评估技术标准是规范开展信息安全风险评估工作的必备条件。落实中办发27号文件、全面推进我国的信息安全风险评估工作，首先就必须解决我国缺乏统一的风险评估技术标准的问题。为此，国信办领导根据专家们的建议，决定着手开展信息安全风险评估国家标准的编制工作及相关实践活动。旨在通过这项工作更好地加强国家基础网络和重要信息系统的风险评估及管理工作，使其流程更加科学、统一、规范、有效。8一、标准的编制过程1、前期研究准备2、标准草案编制3、试点实践检验4、专家评审论证9

根据国信办的指示和信安标委的具体要求，国家信息中心组织国家保密技术研究所、公安部三所、北京信息安全测评中心、上海市测评认证中心、信息安全国家重点实验室以及BJCA、上海三零卫士、联想、天融信、启明星辰、绿盟、科飞、凝瑞等国内十几家企事业单位于2004年3月29日正式启动标准草案的编制工作。此后，中国信息安全产品测评认证中心、解放军信息技术安全研究中心、航天部二院七O六所等单位也参与了标准的编制与起草。起草组在前期准备工作的基础上，经过多次研究探讨，确定了编制标准应遵循的原则:

2、标准草案编制10

1、符合我国现行的信息安全有关法律法规的要求，认真贯彻落实27号文件关于加强信息安全风险评估工作的精神；

2、立足于我国信息化建设实践，积极借鉴国际先进标准的技术，提出符合我国基础网络和重要信息系统工程建设需求的风险评估规范；

3、针对网络与信息系统的全生命周期，制订适应不同阶段特点和要求的风险评估实施方法；

4、积极吸收信息安全有关主管部门和单位在等级保护、保密检查和产品测评等工作的经验与成果；

5、标准文本体系结构科学合理，表述清晰，具有可实现性和可操作性。

11在标准编制的过过程中，标准准起草组多次次与相关主管管部门所属机机构的专家代代表就技术标标准有关主体体内容进行会会商；向相关单位发发放标准文本本，通过电子邮件件等形式广泛泛征求业界意意见；召开标标准讨论会议议三十几次，，共收集100多条修改意见见。起草组逐一对对修改意见进进行研究，在在充分吸纳合合理成份的基基础上，对《信息安全风险险评估规范》等标准进行了了较大幅度的的修改，使标标准的体系结结构更趋完善善、合理。12一、标准的制制定过程1、前期研究准准备2、标准草案编制制3、试点实践检检验4、专家评审论论证133、试点实践检检验2005年2月,根据国信办[2005]4号和5号文件，关于于在银行、税税务、电力等等部门和电子子政务外网，，以及北京、、上海、黑龙龙江、云南等等省市，开展展信息安全风风险评估试点点工作的要求求，标准起草草组配合风险险评估试点工工作专家组开开展了以下工工作：--为各试点单单位提供标标准草案文文本和相关关说明；--在试点准备备阶段与各各试点单位位的技术骨骨干进行标标准技术交流流；--根据标准草草案文本涉涉及的关键键技术，起起草组成员员选择试点环环节参与实实际试点；；--在试点过程程中，先后后几次召开开标准研讨讨会，征求求各单位对标标准的意见见与建议。。14整个试点工作作历时7个月，各试点单位位对标准草草案先后提提出40多条补充修修改意见，，标准起草草组根据试点结结果先后进行了了三次较大大规模的修修改。主要要内容包括括：--细化了资产产的分类方方法、脆弱弱性的识别别要求，修修改并细化了了风险计算算的方法；；--对自评估、、检查评估估不同评估估形式的内内容与实施施的重点进行行了区分；；--对风险评估估的工具进进行了梳理理和区分，，形成了现现在的几种类类型；--细化了生命命周期不同同阶段风险险评估的主主要内容。。试点实践证证明，试行行标准基本本满足各试试点单位评评估工作的的需求。15一、标准的的制定过程程1、前期研究究准备2、标准草案编编制3、试点实践践检验4、专家评审审论证162005年9月16日，国家信信息中心在在北京组织织召开了由周仲义义院士主持持的《信息安全风风险评估指指南（征求求意见稿）》第一次专家家评审会。。4、专家评审审论证17第一次专家家评审会名名单姓名单位职务/职称周仲义中国工程院院士熊四皓国务院信息办处长王娜国家发改委高科技司处长姚世权中国标准化协会研究员贾颖禾全国信息安全标准化技术委员会副秘书长/研究员崔书昆国家信息化专家咨询委员会委员/研究员景乾元公安部十一局处长李建彬国税总局信息中心副处长张宏伟黑龙江省信息产业厅处长姚丽旋上海市信息化管理委员会处长肖京华总参三部三局处长冯惠中国电子技术标准化研究所副主任/高工吴伟国家电网公司处长詹榜华北京市CA中心总经理182005年10月27日，国家信信息中心在在北京组织织召开了信信息安全风风险评估国国家标准征征求意见稿稿的第二次次专家评审审会。19第二次专家家评审会名名单姓名单位职务/职称何义大全国信息安全标准化技术委员会副主任赵战生国家信息化咨询委员会研究员曲成义国家信息化咨询委员会研究员冯登国信息安全863项目专家组组长研究员陈晓桦中国信息安全产品测评认证中心研究员崔书昆国家信息化咨询委员会研究员景乾元公安部十一局处长肖京华解放军信息安全测评中心处长贾颖禾全国信息安全标准化技术委员会副秘书长李守鹏中国信息安全产品测评认证中心副主任王同良中石油经济技术中心副主任江志强民航总局人事科技司处长谢小权航天科技集团706所副所长吕仲涛中国工商银行总行信息科技部总工20与会专家认为为标准起草草组做了大大量卓有成成效的工作作，标准的的结构合理理、内容完完备、可操操作性强，，并充分考考虑与信息息安全等级级保护相关关标准相衔衔接。文本本的编制符符合国家标标准的要求求。同时，，专家们也也对完善标标准提出了了进一步的的修改意见见。212005年12月14日，由安标标委第五工工作组主持持召开了由由沈昌祥院院士为专家家组组长的的信息安全全风险评估估国家标准准送审稿的的专家评审审会。22专家评审会会名单姓名单位职务/职称沈昌祥海军计算技术研究所院士吉增瑞公安部信息安全标委会委员研究员赵战生国家信息化咨询委员会研究员卿斯汉中科院信息安全技术工程研究中心研究员杜虹国家保密技术研究所所长景乾元公安部十一局处长崔书昆国家信息化咨询委员会研究员23与会专家听取取了起草小小组的编制制说明及内内容介绍，，审阅了相相关文档资资料，经质质询和讨论论，一致认认为：一、送审稿稿规范了风风险评估的的评估内容容与范围、、基本概念念，明确了资产、威威胁、脆弱弱性和安全全风险等关关键要素及及其赋值原原则和要求，提出出了实施流流程与操作作步骤、评评估规则与与基本方法法，并充分考虑与与信息安全全等级保护护相关标准准相衔接。。二、送审稿稿的操作性性较强，对对开展风险险评估工作作具有指导导作用，并在国务院院信息办组组织的风险险评估试点点中得到了了进一步的的实践验证和充实实完善。三、文本的的编制符合合国家标准准GB1.1的要求。专家组认为为送审稿达达到国家标标准送审稿稿的要求，，同意通过过评审。建议起起草组根据据专家意见见尽快修改改完善后申申报。242006年３月６日日和３月１１６日，在在国信办进进行的行业和省市市的风险评评估政策文文件的两次次宣贯会上上，信息安安全风险评估征征求意见稿稿以国信办办文件的形形式下发，，为各行业业和省市开展风风险评估提提供技术依依据。252006年4月18日，全国信信息安全标标准化技术术委员（安标委））会第五工工作组（WG5）在北京召召开全体工工作组成员员标准投票会会议，对信信息安全风风险评估国国家标准送送审稿进行行工作组全体成成员投票表表决。与会会的三十几几位专家听听取了标准准起草组对《指南》的编制过程程以及主要要内容的介介绍，经投投票一致通过了标标准的评审审。262006年6月19日，全国信信息安全标标准化技术术委员会秘秘书处在北北京组织召召开了信息息安全风险险评估标准准送审稿的的专家审查查会，与会会专家经质质询和讨论论，将标准准正式命名名为《信息安全技技术信信息安安全风险评评估规范》，认为该标标准达到国国家标准送送审稿的要要求，同意意通过评审审。会后，国家家信息中心心先后与各各起草单位位和有关专专家就标准准规范报批批稿的修改改进行了进进一步的研研讨，并逐逐一落实了了专家提出出的意见。。272006年7月19日，全国国信息安全全标准化委委员会主任任办公会上上讨论通过过了《信息安全技技术信信息安全风风险评估规规范》(报批稿),目前已进入入报批程序序。28主要内容一、标准的的编制过程程二、标准的的主要内容容三、下一步步工作的几几点思考29二、标准的的主要内容容1、什么是风风险评估2、为什么要要做风险评评估3、风险评估估怎么做30二、标准的的主要内容容1、什么是风风险评估2、为什么要要做风险评评估3、风险评估估怎么做311、什么是风风险评估信息安全风风险人为或自然然的威胁利利用信息系系统及其管管理体系中中存在的脆脆弱性导致致安全事件件的发生及及其对组织织造成的影影响。信息安全风风险评估依据有关信信息安全技技术与管理理标准，对对信息系统统及由其处处理、传输输和存储的的信息的保保密性、完完整性和可可用性等安安全属性进进行评价的的过程。它它要评估资资产面临的的威胁以及及威胁利用用脆弱性导导致安全事事件的可能能性，并结结合安全事事件所涉及及的资产价价值来判断断安全事件件一旦发生生对组织造造成的影响响。32风险评估要要素关系图图图中方框部部分的内容容为风险评评估的基本本要素;椭圆部分的的内容是与与这些要素素相关的属属性。风险评估围围绕着基本本要素展开开，同时需需要充分考考虑与基本本要素相关关的各类属属性。（1）业务战略略的实现对对资产具有有依赖性，，依赖程度度越高，要要求其风险险越小；（2）资产是有有价值的，，组织的业业务战略对对资产的依依赖程度越越高，资产产价值就越越大；（3）风险是由由威胁引发发的，资产产面临的威威胁越多则则风险越大大，并可能能演变成安安全事件；；（4）资产的脆脆弱性可以以暴露资产产的价值，，资产具有有的弱点越越多则风险险越大；（5）脆弱性是是未被满足足的安全需需求，威胁胁利用脆弱弱性危害资资产；（6）风险的存存在及对风风险的认识识导出安全全需求；（7）安全需求求可通过安安全措施得得以满足，，需要结合合资产价值值考虑实施施成本；（8）安全措施施可抵御威威胁，降低低风险；（9）残余风险险是未被安安全措施控控制的风险险。有些是是安全措施施不当或无无效,需要加强才才可控制的的风险；而而有些则是是在综合考考虑了安全全成本与效效益后未去去控制的风风险；（10）残余风险险应受到密密切监视，，它可能会会在将来诱诱发新的安安全事件。。33二、标准的的主要内容容1、什么是风风险评估2、为什么要要做风险评评估3、风险评估估怎么做342、为什么要要做风险评评估安全源于风险险。在信息化建建设中，建建设与运营营的网络与与信息系统统由于可能能存在的系系统设计缺缺陷、隐含含于软硬件件设备的缺缺陷、系统统集成时带带来的缺陷陷，以及可可能存在的的某些管理理薄弱环节节，尤其当当网络与信信息系统中中拥有极为为重要的信信息资产时时，都将使使得面临复复杂环境的的网络与信信息系统潜潜在着若干干不同程度度的安全风风险。35风险评估可以以不断深入入地发现系系统建设中中的安全隐隐患，采取或完善善更加经济济有效的安安全保障措措施，来消除安全建建设中的盲盲目乐观或或盲目恐惧惧，提出有有针对性的的从实际出出发的解决决方法，提提高系统安安全的科学学管理水平平，进而全全面提升网网络与信息息系统的安安全保障能能力。36信息安全风险险评估，是是从风险管管理角度，，运用科学学的方法和和手段，系系统地分析析网络与信信息系统所所面临的威威胁及其存存在的脆弱弱性，评估估安全事件件一旦发生生可能造成成的危害程程度，提出出有针对性性的抵御威威胁的防护护对策和整整改措施。。并为防范范和化解信信息安全风风险，或者者将风险控控制在可接接受的水平平，从而最最大限度地地保障网络络和信息安安全提供科科学依据。。（国信办[2006]5号文件）37二、标准的的主要内容容1、什么是风风险评估2、为什么要要做风险评评估3、风险评估估怎么做383、风险评估估怎么做-风险评估实实施流程-风险评估的的形式-信息系统生生命周期各各阶段的风风险评估393、风险评估估怎么做-风险评估实实施流程-风险评估的的形式-信息系统生生命周期各各阶段的风风险评估40风险评估的的实施流程程先期准备要素分析风险分析文档记录风险评估实实施流程图图41实施步骤(1)风险评估的的准备(2)资产识别(3)威胁识别(4)脆弱性识别别(5)已有安全措措施的确认认(6)风险分析(7)风险评估文文件记录423、风险评估估怎么做-风险评估实实施流程-风险评估的的形式-信息系统统生命周周期各阶阶段的风风险评估估43信息安全风风险评估估分为自自评估、、检查评评估两种种形式。。自评估估为主，，自评估估和检查查评估相相互结合合、互为为补充。。自评估估和检查查评估可可依托自自身技术术力量进进行，也也可委托托第三方方机构提提供技术术支持。。风险评估估的形式式44自评估自评估可由由发起方方实施或或委托风风险评估估服务技技术支持持方实施施。由发发起方实实施的评评估可以以降低实实施的费费用、提提高信息息系统相相关人员员的安全全意识，，但可能能由于缺缺乏风险险评估的的专业技技能，其其结果不不够深入入准确；；同时，，受到组组织内部部各种因因素的影影响，其其评估结结果的客客观性易易受影响响。委托托风险评评估服务务技术支支持方实实施的评评估，过过程比较较规范、、评估结结果的客客观性比比较好，，可信程程度较高高；但由由于受到到行业知知识技能能及业务务了解的的限制，，对被评评估系统统的了解解，尤其其是在业业务方面面的特殊殊要求存存在一定定的局限限。但由由于引入入第三方方本身就就是一个个风险因因素，因因此，对对其背景景与资质质、评估估过程与与结果的的保密要要求等方方面应进进行控制制。45自评估中中的“自自”不仅仅仅是指指自已做做评估的的“自””，也不不仅仅是是指自愿愿做评估估的“自自”。由由于“谁谁主管谁谁负责””，出于于对自身身信息系系统的安安全责任任考虑，，信息系系统主管管者应定定期对系系统进行行风险评评估，具具体实施施时可以以依托自自身的评评估队伍伍进行，，也可委委托有资资质的第第三方提提供评估估服务技技术支持持，但无无论是哪哪一种形形式，责责任都是是由信息息系统主主管者自自已担负负的。因因此，自自评估中中的“自自”的含含义是自自已负责责的“自自”。包包括自已已负责系系统的安安全、自自己发起起对信息息系统的的风险评评估以及及自己负负责为保保障系统统安全所所做的风风险评估估的安全全等。46此外，为为保证风风险评估估的实施施，与系系统相连连的相关关方也应应配合，，以防止止给其他他方的使使用带来来困难或或引入新新的风险险也往往往较多，，因此，，要对实实施检查查评估机机构的资资质进行行严格管管理。47检查评估估检查评估是是指信息息系统上上级管理理部门组组织的或或国家有有关职能能部门依依法开展展的风险险评估。。检查评估估可依据据本标准准的要求求，实施施完整的的风险评评估过程程。48一是风险险评估究究其根本本是评估估系统的的敏感信信息，涉涉及大量量的安全全问题，，完全委委托第三三方将带带来评估估本身的的风险；；二是进行行风险评评估要求求评估人人员既要要了解评评估本身身的一套套方法与与流程，，还要了了解被评评估系统统的业务务特性，，这对于于完全从从事评估估的第三三方来讲讲，在短短时间内内了解每每个系统统的业务务特性难难度是比比较大的的；三是风险险评估工工作流程程中常常常要求被被评估方方向评估估方提供供各种信信息，需需要之间间的良好好互动以以及多方方会商，，单靠评评估方第第三方是是无法完完成系统统评估的的。基于以上上原因，，委托评评估技术术支持比比委托评评估的提提法更为为切合实实际。并并且，提提供委托托评估技技术支持持的机构构应具有有相应的的资质。。493、风险评评估怎么么做-风险评估估实施流流程-风险评估估的形式式-信息系统统生命周周期各阶阶段的风风险评估估50国信办[2006]5号文件指指出：信息安全全风险评估估应贯穿穿于网络络与信息息系统建建设运行行的全过过程。在在网络与与信息系系统的设设计、验验收及运运行维护护阶段均均应当进进行信息息安全风风险评估估。如在在网络与与信息系系统规划划设计阶阶段，应应通过信信息安全全风险评评估进一一步明确确安全需需求和安安全目标标。51信息系统统生命周周期各阶阶段的风风险评估估规划阶段段的风险险评估设计阶段段的风险险评估实施阶段段的风险险评估运行维维护阶阶段的的风险险评估估废弃阶阶段的的风险险评估估52规划阶阶段的的风险险评估估规划阶段段风险险评估估的目目的是是识别别系统统的业业务战战略，，以支支撑系系统安安全需需求及及安全全战略略等。。规划划阶段段的评评估应应能够够描述述信息息系统统建成成后对对现有有业务务模式式的作作用，，包括括技术术、管管理等等方面面，并并根据据其作作用确确定系系统建建设应应达到到的安安全目目标。。53设计阶阶段的的风险险评估估设计阶段段的风风险评评估需需要根根据规规划阶阶段所所明确确的系系统运运行环环境、、资产产重要要性，，提出出安全全功能能需求求。设设计阶阶段的的风险险评估估结果果应对对设计计方案案中所所提供供的安安全功功能符符合性性进行行判断断，作作为采采购过过程风风险控控制的的依据据。54实施阶阶段的的风险险评估估实施阶段段风险险评估估的目目的是是根据据系统统安全全需求求和运运行环环境对对系统统开发发、实实施过过程进进行风风险识识别，，并对对系统统建成成后的的安全全功能能进行行验证证。根根据设设计阶阶段分分析的的威胁胁和制制定的的安全全措施施，在在实施施及验验收时时进行行质量量控制制。基于设设计阶阶段的的资产产列表表、安安全措措施，，实施施阶段段应对对规划划阶段段的安安全威威胁进进行进进一步步细分分，同同时评评估安安全措措施的的实现现程度度，从从而确确定安安全措措施能能否抵抵御现现有威威胁、、脆弱弱性的的影响响。实实施阶阶段风风险评评估主主要对对系统统的开开发与与技术术/产品品获获取取、、系系统统交交付付实实施施两两个个过过程程进进行行评评估估。。55运行维护护阶段的的风险评评估运行维护护阶段风风险评估估的目的的是了解解和控制制运行过过程中的的安全风风险，是是一种较较为全面面的风险险评估。。评估内内容包括括对真实实运行的的信息系系统、资资产、威威胁、脆脆弱性等等各方面面。资产评估估：在真真实环境境下较为为细致的的评估。。包括实实施阶段段采购的的软硬件件资产、、系统运运行过程程中生成成的信息息资产、、相关的的人员与与服务等等，本阶阶段资产产识别是是前期资资产识别别的补充充与增加加；威胁评估估：应全全面地分分析威胁胁的可能能性和影影响程度度。对非非故意威威胁导致致安全事事件的评评估可以以参照安安全事件件的发生生频率；；对故意意威胁导导致安全全事件的的评估主主要就威威胁的各各个影响响因素做做出专业业判断；；脆弱性评评估：是是全面的的脆弱性性评估。。包括运运行环境境中物理理、网络络、系统统、应用用、安全全保障设设备、管管理等各各方面的的脆弱性性。技术术脆弱性性评估可可以采取取核查、、扫描、、案例验验证、渗渗透性测测试的方方式实施施；安全全保障设设备的脆脆弱性评评估，应应考虑安安全功能能的实现现情况和和安全保保障设备备本身的的脆弱性性；管理理脆弱性性评估可可以采取取文档、、记录核核查等方方式进行行验证；；风险计算算：根据据本标准准的相关关方法，，对重要要资产的的风险进进行定性性或定量量的风险险分析，，描述不不同资产产的风险险高低状状况。56废弃阶段段的风险险评估当信息系系统不能能满足现现有要求求时，信信息系统统进入废废弃阶段段。根据据废弃的的程度，，又分为为部分废废弃和全全部废弃弃两种。。废弃阶段风险险评估着重在在以下几方面面：1、确保硬件和和软件等资产产及残留信息息得到了适当当的处置，并并确保系统组件被合理理地丢弃或更更换；2、如果被废弃弃的系统是某某个系统的一一部分，或与与其他系统存存在物理或逻辑上的连连接，还应考考虑系统废弃弃后与其他系系统的连接是是否被关闭；3、如果在系统统变更中废弃弃，除对废弃弃部分外，还还应对变更的的部分进行评估，以确确定是否会增增加风险或引引入新的风险险；4、是否建立了了流程，确保保更新过程在在一个安全、、系统化的状状态下完成。57汇报内容一、标准的编编制过程二、标准的主主要内容三、下一步工工作的几点思思考58--按照