《信息安全技术 信息安全风险评估方法-编制说明》_第1页
《信息安全技术 信息安全风险评估方法-编制说明》_第2页
《信息安全技术 信息安全风险评估方法-编制说明》_第3页
《信息安全技术 信息安全风险评估方法-编制说明》_第4页
《信息安全技术 信息安全风险评估方法-编制说明》_第5页
已阅读5页,还剩3页未读 继续免费阅读

付费下载

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

国家标准报批稿资料

一、工作简况

1.1任务来源

2016年,经国标委批准,全国信息安全标准化技术委员会(SAC/TC260)2016

年第二次全会讨论通过,研究修订《信息安全技术信息安全风险评估规范》国

家标准。该项目由全国信息安全标准化技术委员会提出,全国信息安全标准化技

术委员会归口。

1.2主要起草单位和工作组成员

国家信息中心和北京安信天行科技有限公司主要负责起草,协作起草单位包

括中国信息安全认证中心、中国电子技术标准化研究院、中国信息安全测评中心、

公安部信息安全等级保护评估中心、信息产业信息安全测评中心、中国科学院信

息工程研究所、北京信息安全测评中心、民航信息安全管理与测评中心和上海上

讯信息技术股份有限公司等。

1.3主要工作过程

标准于2017年3月开始进行相关调研工作,于2017年7月立项,于2017年4月

至9月编制完成《信息安全技术信息安全风险评估规范(修订版)》草案,并邀

请国家安全主管部门、重点行业主管机关、服务资质认证机构、安全评估从业机

构等对草案进行多次研讨。在2017年9月,标准召开了专家评审会。并将修改完

成后的《信息安全技术信息安全风险评估规范(修订版)》草案提交安标委,

在2017年10月根据安标委的工作安排,供专家讨论评审。标准于2018年1月根据

专家意见,形成《信息安全技术信息安全风险评估规范(修订版)》(征求意

见稿),提交进行意见征集。

(1)基础研究和调研

组建《信息安全风险评估规范》修订项目组,对近年来,尤其是中央网络安

全与信息化领导小组成立以来所发布的关于网络安全的一系列政策文件进行研

究,充分理解我国网络安全的战略规划对信息安全风险评估工作提出的新要求和

新挑战;同时,组织技术力量对云计算、物联网、大数据、智慧城市等新技术应

用对原有信息安全风险评估方法带来的挑战进行研究,并提出解决方案;组织人

员对ISO/IEC27005:2011、ISO/IEC13335,NISTSP800系列等国际标准进行研

国家标准报批稿资料

究,充分了解和掌握国际上关于信息安全风险评估工作的最新研究动态,为《信

息安全风险评估规范》修订工作提供借鉴。

通过座谈或现场调研等方式,对国内信息安全主管机构(包括但不限于中央

网信办、公安部、安全部、国家保密局、工信部、国家认监委等),行业协会(包

括但不限于网络空间安全协会<筹>、中国信息协会、计算机学会、网络空间安全

研究院等),国家关键信息基础设施主管机构(包括但不限于金融、电力、能源、

交通、通信、教育、水利、电子政务等),服务和体系认证机构(包括但不限于

中国信息安全认证中心、中国信息安全测评中心、认监委认可的信息安全管理体

系第三方认证机构等),风险评估服务提供机构(包括但不限于中国信息安全认

证中心颁发的风险评估服务资质一级单位、中国信息安全测评中心颁发的风险评

估服务单位)等开展广泛调研,充分了解和掌握《信息安全风险评估规范》(GB/T

20984-2007)的应用情况和存在的不足,为修订工作提供指导。

(2)形成标准修订的原则、方案,划定修订重点

在充分研究和调研的基础上,结合国家安全主管部门的意见,形成《信息安

全风险评估规范》的修订原则、设定修订重点,重点修订原标准中与当前的国家

信息安全战略不相一致的地方,与当前广泛应用的信息技术不相适宜的过程和条

款,增加最新的信息安全风险评估方法等。在此基础上,形成标准修订方案。

(3)编制《信息安全风险评估规范(修订版)》草案

依据修订原则和修订方案,编制《信息安全风险评估规范(修订版)》草案,

邀请国家安全主管部门、重点行业主管机关、服务资质认证机构、安全评估从业

机构等,组织召开意见征询会,根据征询意见,调整框架并编制《信息安全风险

评估规范(修订版)》草案。

(4)按照安标委相关流程和要求,形成《信息安全技术信息安全风险评

估规范》(征求意见稿)

按照《关于印发全国信息安全标准化技术委员会标准制修订工作程序的通

知》(信安字[2016]004号)文件相关要求,在信安标委的指导下,在专家的帮

助下,完成标准草案、征求意见稿流程。

二、标准编制原则和确定主要内容的论据及解决的主要问题

本标准在编制过程中遵循了先进性和合理性原则。

国家标准报批稿资料

先进性原则体现在与国际同步。本标准在制定过程中主要参考了国际相关

标准,标准主要参考了ISO/IEC13335、ISO/IEC27005:2008,2011、NISTSP

800-30。

合理性原则体现在与国内实际情况相结合。通过对《信息安全技术信息安

全风险评估规范》(GB/T20984-2007)进行修订完善,调整标准中与当前国家安全

战略和安全形势不一致、或在标准应用过程中不适宜的方法和内容,优化风险评

估的实施流程和过程,补充完善标准中缺失的方法和内容,提升标准的科学性和

适宜性,形成能够与当前信息安全新形势和新环境相适宜的信息安全风险评估标

准,为推动《中华人民共和国网络安全法》和《国家网络空间安全战略》的落实,

指导我国的信息安全保障工作开展奠定基础。

本项目在《中华人民共和国网络安全法》、《国家网络空间安全战略》和《“十

三五”国家网络安全规划》的指导下,对信息安全风险评估工作在我国的开展现

状进行调研,对新的网络空间安全战略下,信息安全风险评估工作所面临的新要

求和新挑战进行充分分析,同时,结合国内外的先进研究成果和实践经验,研究

信息安全风险评估规范的修订原则、修订方针和修订重点,在这些方针和原则的

指导下,对GB/T20984-2007进行修订,形成新版的信息安全风险评估规范标准,

指导我国的信息安全风险评估工作开展。

本次标准修订的内容主要包括标准应用语境及术语修订、实施流程和方法修

订、全生命周期风险评估内容修订等。

(1)标准应用语境及术语修订

本次标准修订,将对标准应用语境进行调整。将原有基于传统信息系统和网

络的信息安全风险评估语境,外延到适用于网络空间的语境中。

标准术语修订。遵照《网络安全法》的要求,将“信息安全风险评估规范”

中的有关术语,修订成网络空间安全风险评估、国家关键信息基础设施风险评估

等相关术语。

标准评估对象进行调整,将原有的基于资产的评估方法,调整为基于国家安

全战略、组织战略、单位核心业务保护的风险评估方法

另外,在修订GB/T20984-2007时,要充分兼容GB/T31722-2015(IDT

ISO/IEC27005:2008)

国家标准报批稿资料

(2)实施流程和方法的修订

对原有基于资产的评估流程和方法进行修订,调整为基于国家或组织发展战

略的风险评估方法,计划调整后的评估流程如下图所示。

(3)全生命周期风险评估内容的修订

本次修订,将围绕管控国家安全战略、组织战略、单位核心业务安全风险的

思想,对安全决策制订风险评估、组织业务流程设计风险评估、工程和系统规划

设计风险评估、工程和系统建设实施风险评估、工程和系统运行维护风险评估、

工程和系统废弃风险评估等进行规范。

三、主要试验[或验证]情况分析

无。

四、知识产权情况说明

本标准不涉及专利。

国家标准报批稿资料

五、产业化情况、推广应用论证和预期达到的经济效果

无。

六、采用国际标准和国外先进标准情况

未采用国际标准。

国外先进标准情况如下:

国外开展信息安全风险评估的时间比较早,在20世纪80年代,美国、加拿

大等发达国家就已经开始建立信息安全风险评估体系,制定了相关标准,评估方

法、技术。美国国防部于上世纪八十年代中期发布了TCSEC(即可信计算机系统

评估标准,业界称之为橘皮书),世界上很多国家根据自己实际情况,均都研究

并发布了一系列信息安全评估标准:

英国、法国、德国、荷兰等国家在1991年联合将ITSEC(信息技术安全

评估标准)提出来;

加拿大于1993年发布了可信计算机产品评价标准CTCPEC(Canadian

TrustedComputerProductEvaluationCriteria);

1993年,由6国7方(加拿大、法国、德国、荷兰、英国、美国NIST

及美国NSA)提出了CC(即为信息技术安全评估通用标准),目前,CC

已经被采纳为国际标准ISO/IEC15408-1;

1999年由英国标准协会(BSI)将修改之后的BS7799标准重新发布,涵

盖了信息安全管理实施细则、信息安全管理体系规范(即为BS7799-1、

BS7799-2),并且BS7799-1通过了国际标准化组织ISO的认可,成为了

国际标准(ISO/IEC17799)。

ISO/IEC13335

ISO/IEC27005:2008,2011

NISTSP800-30

除了安全标准的研制及发布,各个国家都在加强网络安全的建设。2014年2

月,美国启动了“网络安全框架”,该项目主要目标为加强电力、运输和电信等

“关键基础设施”部门的网络安全。欧盟主要领导机构明确表示,计划在2014

年通过“欧洲数据保护改革方案”,以强化数据安全。在亚洲,日本及印度也纷

国家标准报批稿资料

纷在国家安全战略层面对网络安全进行了部署,确保国家网络的安全性,将安全

可信的计算机环境构建起来。

七、与现行相关法律、法规、规章及相关标准的协调性

本标准严格遵循《中华人民共和国网络安全法》等法律、法规规章。本标

准不触犯国家现行法律法规,不与其他强制性国标相冲突。

2007年,在原国信办的直接领导和支持下,在国家安标委的大力推动下,

《信息安全技术信息安全风险评估规范》(GB/T20984-2007)正式颁布。标准

颁布十年来,GB/T20984-2007为了解和掌握我国信息安全保障工作的开展现状,

推动国家信息安全保障体系建设,提升我国信息安全保障水平奠定了良好的基

础。

依据该标准,2009年度,制定完成上位指导标准《信息安全技术信息安全

风险管理指南》(GB/Z24364-2009),2015年,GB/T20984-2007的实施细则《信

息安全技术信息安全风险评估指南》(GB/T31509-2015)正式发布,2016年底,

GB/T31509-2015的姊妹篇《信息安全技术信息安全风险处理实施指南》(GB/T

33132-2016)正式发布。截止目前,我国信息安全风险管理标准体系基本搭建完

成(我国的风险管理标准体系见下图),对于指导我国的信息安全保障工作开展

奠定了坚实基础。

《信息安全技术信息安全风险管理指南》(GB/Z24364-2009)对信息安全风

险管理的范围和对象、内容和过程、信息安全风险管理与信息系统生命周期和信

息安全目标的关系,以及信息安全风险管理相关人员的角色和责任等都进行了规

定。

国家标准报批稿资料

《信息安全技术信息安全风险评估指南》(GB/T31509-2015)定义了风险

评估的基本概念、原理及实施流程,对资产、威胁和脆弱性识别要求进行了详细

描述,提出了风险评估在信息系统生命周期不同阶段的实施要点,以及风险评估

的工作形式。适用于指导各组织针对信息系统及其管理开展的信息风险评估工

作。

《信息安全技术信息安全风险处理指南》(GB/T33132-2016)给出了信息

安全风险处理实施的管理过程和方法,适用于指导信息系统运营使用单位和信息

安全服务机构实施信息安全风险处理活动。

《信息技术安全技术信息安全风险管理》(GB/T31722-2015IDTISO/IEC

27005:2008)是对国际标准的转化,旨在为基于风险管理方法建立信息安全管理

体系提供指导。

《信息系统安全等级保护基本要求》(GB/T22239,以下简称《等保要求》),

其中明确了五种安全等级中对信息系统最低要求,也就是基本安全要求,涵盖了

基本技术要求和基本管理要求,用于指导信息系统的安全建设和监督管理。

国家对网络安全风险和风险评估工作高度重视。2016年颁布的《中华人民

共和国网络安全法》中明确指出,关键信息基础设施的运营者应当自行或者委托

网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测

评估。2016年底颁布的《国家网络空间安全战略》中也明确指出,应采取必要

措施保障关键信息基础设施安全,逐步实现先评估后使用。2017年初颁布的《“十

三五”国家网络安全规划》中也指出,构建关键信息基础设施安全保障体系。统

筹组织开展对党政机关、重点行业、智慧城市和大型互联网服务平台等的安全检

查和风险评估,逐步实现重要信息系统先评估后使用。建立互联网新技术、新应

用网络安全风险评估制度,加强对新技术、新应用上线前的风险评估。

八、重大分歧意见的处理经过和依据

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论