信息安全技术 信息安全风险评估方法-编制说明

国家标准报批稿资料一、工作简况1.1任务来源2016年，经国标委批准，全国信息安全标准化技术委员会（SAC/TC260）2016年第二次全会讨论通过，研究修订《信息安全技术信息安全风险评估规范》国家标准。该项目由全国信息安全标准化技术委员会提出，全国信息安全标准化技术委员会归口。1.2主要起草单位和工作组成员国家信息中心和北京安信天行科技有限公司主要负责起草，协作起草单位包括中国信息安全认证中心、中国电子技术标准化研究院、中国信息安全测评中心、公安部信息安全等级保护评估中心、信息产业信息安全测评中心、中国科学院信息工程研究所、北京信息安全测评中心、民航信息安全管理与测评中心和上海上讯信息技术股份有限公司等。1.3主要工作过程标准于2017年3月开始进行相关调研工作，于2017年7月立项，于2017年4月至9月编制完成《信息安全技术信息安全风险评估规范（修订版）》草案，并邀请国家安全主管部门、重点行业主管机关、服务资质认证机构、安全评估从业机构等对草案进行多次研讨。在2017年9月，标准召开了专家评审会。并将修改完成后的《信息安全技术信息安全风险评估规范（修订版）》草案提交安标委，在2017年10月根据安标委的工作安排，供专家讨论评审。标准于2018年1月根据专家意见，形成《信息安全技术信息安全风险评估规范（修订版）》（征求意见稿），提交进行意见征集。基础研究和调研组建《信息安全风险评估规范》修订项目组，对近年来，尤其是中央网络安全与信息化领导小组成立以来所发布的关于网络安全的一系列政策文件进行研究，充分理解我国网络安全的战略规划对信息安全风险评估工作提出的新要求和新挑战；同时，组织技术力量对云计算、物联网、大数据、智慧城市等新技术应用对原有信息安全风险评估方法带来的挑战进行研究，并提出解决方案；组织人员对ISO/IEC27005:2011、ISO/IEC13335,NISTSP800系列等国际标准进行研究，充分了解和掌握国际上关于信息安全风险评估工作的最新研究动态，为《信息安全风险评估规范》修订工作提供借鉴。通过座谈或现场调研等方式，对国内信息安全主管机构（包括但不限于中央网信办、公安部、安全部、国家保密局、工信部、国家认监委等），行业协会（包括但不限于网络空间安全协会<筹>、中国信息协会、计算机学会、网络空间安全研究院等），国家关键信息基础设施主管机构（包括但不限于金融、电力、能源、交通、通信、教育、水利、电子政务等），服务和体系认证机构（包括但不限于中国信息安全认证中心、中国信息安全测评中心、认监委认可的信息安全管理体系第三方认证机构等），风险评估服务提供机构（包括但不限于中国信息安全认证中心颁发的风险评估服务资质一级单位、中国信息安全测评中心颁发的风险评估服务单位）等开展广泛调研，充分了解和掌握《信息安全风险评估规范》（GB/T20984-2007）的应用情况和存在的不足，为修订工作提供指导。形成标准修订的原则、方案，划定修订重点在充分研究和调研的基础上，结合国家安全主管部门的意见，形成《信息安全风险评估规范》的修订原则、设定修订重点，重点修订原标准中与当前的国家信息安全战略不相一致的地方，与当前广泛应用的信息技术不相适宜的过程和条款，增加最新的信息安全风险评估方法等。在此基础上，形成标准修订方案。编制《信息安全风险评估规范（修订版）》草案依据修订原则和修订方案，编制《信息安全风险评估规范（修订版）》草案，邀请国家安全主管部门、重点行业主管机关、服务资质认证机构、安全评估从业机构等，组织召开意见征询会，根据征询意见，调整框架并编制《信息安全风险评估规范（修订版）》草案。按照安标委相关流程和要求，形成《信息安全技术信息安全风险评估规范》（征求意见稿）按照《关于印发全国信息安全标准化技术委员会标准制修订工作程序的通知》（信安字[2016]004号）文件相关要求，在信安标委的指导下，在专家的帮助下，完成标准草案、征求意见稿流程。二、标准编制原则和确定主要内容的论据及解决的主要问题本标准在编制过程中遵循了先进性和合理性原则。先进性原则体现在与国际同步。本标准在制定过程中主要参考了国际相关标准，标准主要参考了ISO/IEC13335、ISO/IEC27005:2008,2011、NISTSP800-30。合理性原则体现在与国内实际情况相结合。通过对《信息安全技术信息安全风险评估规范》（GB/T20984-2007）进行修订完善,调整标准中与当前国家安全战略和安全形势不一致、或在标准应用过程中不适宜的方法和内容，优化风险评估的实施流程和过程,补充完善标准中缺失的方法和内容，提升标准的科学性和适宜性，形成能够与当前信息安全新形势和新环境相适宜的信息安全风险评估标准,为推动《中华人民共和国网络安全法》和《国家网络空间安全战略》的落实，指导我国的信息安全保障工作开展奠定基础。本项目在《中华人民共和国网络安全法》、《国家网络空间安全战略》和《“十三五”国家网络安全规划》的指导下，对信息安全风险评估工作在我国的开展现状进行调研，对新的网络空间安全战略下，信息安全风险评估工作所面临的新要求和新挑战进行充分分析，同时，结合国内外的先进研究成果和实践经验，研究信息安全风险评估规范的修订原则、修订方针和修订重点，在这些方针和原则的指导下，对GB/T20984-2007进行修订，形成新版的信息安全风险评估规范标准，指导我国的信息安全风险评估工作开展。本次标准修订的内容主要包括标准应用语境及术语修订、实施流程和方法修订、全生命周期风险评估内容修订等。标准应用语境及术语修订本次标准修订，将对标准应用语境进行调整。将原有基于传统信息系统和网络的信息安全风险评估语境，外延到适用于网络空间的语境中。标准术语修订。遵照《网络安全法》的要求，将“信息安全风险评估规范”中的有关术语，修订成网络空间安全风险评估、国家关键信息基础设施风险评估等相关术语。标准评估对象进行调整，将原有的基于资产的评估方法，调整为基于国家安全战略、组织战略、单位核心业务保护的风险评估方法另外，在修订GB/T20984-2007时,要充分兼容GB/T31722-2015（IDTISO/IEC27005:2008）实施流程和方法的修订对原有基于资产的评估流程和方法进行修订，调整为基于国家或组织发展战略的风险评估方法，计划调整后的评估流程如下图所示。全生命周期风险评估内容的修订本次修订，将围绕管控国家安全战略、组织战略、单位核心业务安全风险的思想，对安全决策制订风险评估、组织业务流程设计风险评估、工程和系统规划设计风险评估、工程和系统建设实施风险评估、工程和系统运行维护风险评估、工程和系统废弃风险评估等进行规范。三、主要试验[或验证]情况分析无。四、知识产权情况说明本标准不涉及专利。五、产业化情况、推广应用论证和预期达到的经济效果无。六、采用国际标准和国外先进标准情况未采用国际标准。国外先进标准情况如下：国外开展信息安全风险评估的时间比较早，在20世纪80年代，美国、加拿大等发达国家就已经开始建立信息安全风险评估体系，制定了相关标准，评估方法、技术。美国国防部于上世纪八十年代中期发布了TCSEC（即可信计算机系统评估标准，业界称之为橘皮书），世界上很多国家根据自己实际情况，均都研究并发布了一系列信息安全评估标准：英国、法国、德国、荷兰等国家在1991年联合将ITSEC（信息技术安全评估标准）提出来；加拿大于1993年发布了可信计算机产品评价标准CTCPEC（CanadianTrustedComputerProductEvaluationCriteria）；1993年，由6国7方（加拿大、法国、德国、荷兰、英国、美国NIST及美国NSA）提出了CC（即为信息技术安全评估通用标准），目前，CC已经被采纳为国际标准ISO/IEC15408-1；1999年由英国标准协会（BSI）将修改之后的BS7799标准重新发布，涵盖了信息安全管理实施细则、信息安全管理体系规范（即为BS7799-1、BS7799-2），并且BS7799-1通过了国际标准化组织ISO的认可，成为了国际标准（ISO/IEC17799）。ISO/IEC13335ISO/IEC27005:2008,2011NISTSP800-30除了安全标准的研制及发布，各个国家都在加强网络安全的建设。2014年2月，美国启动了“网络安全框架”，该项目主要目标为加强电力、运输和电信等“关键基础设施”部门的网络安全。欧盟主要领导机构明确表示，计划在2014年通过“欧洲数据保护改革方案”，以强化数据安全。在亚洲，日本及印度也纷纷在国家安全战略层面对网络安全进行了部署，确保国家网络的安全性，将安全可信的计算机环境构建起来。七、与现行相关法律、法规、规章及相关标准的协调性本标准严格遵循《中华人民共和国网络安全法》等法律、法规规章。本标准不触犯国家现行法律法规，不与其他强制性国标相冲突。2007年，在原国信办的直接领导和支持下，在国家安标委的大力推动下，《信息安全技术信息安全风险评估规范》（GB/T20984-2007）正式颁布。标准颁布十年来，GB/T20984-2007为了解和掌握我国信息安全保障工作的开展现状，推动国家信息安全保障体系建设，提升我国信息安全保障水平奠定了良好的基础。依据该标准，2009年度，制定完成上位指导标准《信息安全技术信息安全风险管理指南》（GB/Z24364-2009），2015年，GB/T20984-2007的实施细则《信息安全技术信息安全风险评估指南》（GB/T31509-2015）正式发布，2016年底，GB/T31509-2015的姊妹篇《信息安全技术信息安全风险处理实施指南》（GB/T33132-2016）正式发布。截止目前，我国信息安全风险管理标准体系基本搭建完成（我国的风险管理标准体系见下图），对于指导我国的信息安全保障工作开展奠定了坚实基础。《信息安全技术信息安全风险管理指南》(GB/Z24364-2009)对信息安全风险管理的范围和对象、内容和过程、信息安全风险管理与信息系统生命周期和信息安全目标的关系，以及信息安全风险管理相关人员的角色和责任等都进行了规定。《信息安全技术信息安全风险评估指南》（GB/T31509-2015）定义了风险评估的基本概念、原理及实施流程，对资产、威胁和脆弱性识别要求进行了详细描述，提出了风险评估在信息系统生命周期不同阶段的实施要点，以及风险评估的工作形式。适用于指导各组织针对信息系统及其管理开展的信息风险评估工作。《信息安全技术信息安全风险处理指南》（GB/T33132-2016）给出了信息安全风险处理实施的管理过程和方法，适用于指导信息系统运营使用单位和信息安全服务机构实施信息安全风险处理活动。《信息技术安全技术信息安全风险管理》（GB/T31722-2015IDTISO/IEC27005:2008）是对国际标准的转化，旨在为基于风险管理方法建立信息安全管理体系提供指导。《信息系统安全等级保护基本要求》（GB/T22239，以下简称《等保要求》），其中明确了五种安全等级中对信息系统最低要求，也就是基本安全要求，涵盖了基本技术要求和基本管理要求，用于指导信息系统的安全建设和监督管理。国家对网络安全风险和风险评估工作高度重视。2016年颁布的《中华人民共和国网络安全法》中明确指出，关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估。2016年底颁布的《国家网络空间安全战略》中也明确指出，应采取必要措施保障关键信息基础设施安全，逐步实现先评估后使用。2017年初颁布的《“十三五”国家网络安全规划》中也指出，构建关键信息基础设施安全保障体系。统筹组织开展对党政机关、重点行业、智慧城市和大型互联网服务平台等的安全检查和风险评估，逐步实现重要信息系统先评估后使用。建立互联网新技术、新应用网络安全风险评估制度，加强对新技术、新应用上线前的风险评估。八、重大分歧意见的处理经过和依据无。九、标准性质的建议根据本标准的性质，建议本标准为推荐性标准。十、贯彻标准的要求和措施建议在正式执行本标准前，需要对标准中的条款进行宣贯，以在利益相关方之间达成对标准条款理解上的一致性。该国标为信息安全风险评估提供指导性意见，建议在全国推荐性实施。在具体贯彻实施该标准时，建议相关信息安全测评机构使用该标准作为风险评估的测评依据。十一、替代或废止现行相关标准的建议替代《信息安全技术信息安全风险评估规范》（GB/T20984-2007）。对《信息安全技术信息安全风险评估规范》（GB/T20984-2007）进行修订完善,调整标准中与当前国家安全战略和安全形势不一致、或在标准应用过程中不适宜的方法和内容，优化风险评估的实施流程和过程,补充完善标准中缺失的方法和内容，提升标准的科学性