信息安全风险评估国家标准介绍2.ppt

1、1、信息安全风险评估标准化工作情况介绍、国家信息中心信息安全研究与服务中心范红昆明2006年3月2、序言、2003年7月以来，信息安全风险评估国家标准经过前期调查和研究，开始制定。 两年多来，在信任和有关主管部门的具体指导下，在信安标委员会的大力支持下，经科研单位、企业专家和行业相关人员的协助，合作工作，目前信息安全风险评估指南等标准的编制基本完成。 现将有关情况简要报告如下。 3、报告内容、一、标准的制作过程二、标准的主要内容三、接下来工作的几点思考、4、报告内容、一、标准的制作过程二、标准的主要内容三、接下来工作的几点思考、5、一、标准的制作过程1、前期研究准备2、标准草案制作3、试验实践

2、验证、7、1、前期研究准备、2 国信委托国家信息中心进行指导，成立了国家信息安全风险评价课题组，对信息安全风险评价工作开展了调查研究。 课题组利用了半年多的时间，深入调查了中国信息安全风险评估的现状，对掌握了第一手情况的国内外相关领域的理论进行了学习、分析和研究，查阅了大量的相关资料，基本了解了这一领域的国际前沿动态。 所有这些都为标准编制工作奠定了良好的基础。8、统一风险评估技术标准是规范信息安全风险评估工作的必要条件。 执行中务发行27号文件，全面推进中国信息安全风险评估工作，首先要解决中国缺乏统一风险评估技术标准的问题。 因此，国信经营领导决定根据专家们的建议，着手制定信息安全风险评价国

3、家标准和开展相关实践活动。 目的是通过这项工作更好地加强国家基础网络和重要信息系统的风险评估和管理工作，使其进程更科学、统一、规范、有效。9、一、标准的制定过程、1、前期研究准备2、标准草案制定3、试验实践验证、10、国家信息中心为北京信息安全评价中心、上海市评价认证中心、国家保密技术研究所、公安部3个以及组织bb的起草小组根据前期的准备工作，经过多次研究讨论， 制定标准必须遵循的原则： 2、2、准则草案编制，11，1，确定符合中国现行信息安全法律法规要求，认真落实27号文件关于加强信息安全风险评估工作的精神2、立足中国信息化建设实践，积极参考国际先进标准的技术， 提出满足中国基础网络和重要信

4、息系统工程建设需求的风险评价规范3 .针对网络和信息系统的整个生命周期，制定适应不同阶段特点和要求的风险评价实施方法4 .信息安全相关主管部门和机构的等级保护， 积极吸收保密检查和产品评价等工作经验和成果5 .标准文本架构科学合理、表现清晰、可行性和可操作性。 12、在制定标准过程中，标准起草组与有关主管部门所属机构的专家代表就技术标准有关主体的内容多次进行会商，向有关机构分发标准文本，以电子邮件等形式召开了30多次广泛征求行业意见的标准讨论会，收集了近100条修改意见。 草案组逐一研究了修改意见，在充分采用合理成分的基础上，大幅度修改了信息安全风险评价指南等标准，使标准体系结构更加完善、合理

5、。、13、一、标准的制定过程、1、前期研究准备2、标准草案编制3、试验实践验证、14、3、试验实践验证、2005年2月、国信颁布的20054号和5号文件、银行、税务、 关于电力等部门-在试点准备阶段与各试点单位的技术骨干进行标准技术交流-根据与标准草案文本相关的重要技术，草案小组的成员选择试点参加实际的试点-在试点过程中，举行多次标准研讨会，对各部门进行标准整个试验历时7个月，各试验机构对标准草案相继提出40多项补充修正意见，标准草案组根据试验结果相继进行了3次大规模修正。 主要内容有：-资产分类方法、漏洞识别要求细化、风险纠正方法修改、细化-自我评估、区分检验评估不同评估形式的内容和实施重点

6、-整理、区分风险评估工具，形成了当前的几种类型-生命周期的不同阶段试点实践证明，试点标准基本满足各试点单位评价工作的需要。16、2005年9月16日，信息安全风险评估指南顺利通过了周仲义院士主办的首次审查。 在10月27日的第二次专家审查会上，参评专家一致认为指导方针操作性强，对开展风险评估工作具有指导作用，并同意在信托组织风险评估考试中取得进一步的实践验证和充实，满足国家标准审查的要求，通过审查。 12月14日，安标委员会第五工作组由沈昌祥院士主持专家组组长信息安全风险评估指南(送审)专家审查会，经会议专家一致肯定，审查合格。17、报告内容、一、标准编制过程二、标准主要内容三、下列工作的几点

7、思考、18、二、标准主要内容、1、风险评估2、为什么风险评估3、风险评估19、二、信息安全风险评估系统分析了网络和信息系统面临的威胁及其存在的脆弱性，评价安全事件发生时可能发生的危害程度，提出针对性的威胁防护对策和改善措施。 并为防范和解决信息安全风险或将风险控制在可接受的水平，最大限度地保障网络和信息安全提供科学依据(信任20065号文件)。21、风险评价要素关系图、22、风险评价要素关系图、图中块部分的内容是风险评价的基本要素，23、风险评价要素关系图、图中的块部分的内容是风险评价的基本要素，24、风险评价要素关系图、 图中块部分的内容是风险评价的基本要素，25、风险评价要素关系图，图中的

8、块部分的内容是风险评价的基本要素，26、风险评价要素关系图，图中的块部分的内容是风险评价的基本要素，27、风险评价要素关系图， 图中的块部分的内容是风险评价的基本要素，28、风险评价要素关系图、图中的块部分的内容是风险评价的基本要素，椭圆部分的内容是与基本要素相关联的属性。29、风险评价要素关系图、图中的块部分的内容是风险评价的基本要素、椭圆部分的内容是与基本要素相关的属性。 30、风险评价要素关系图、图中的块部分的内容是风险评价的基本要素、椭圆部分的内容是与基本要素相关的属性。、31、风险评价要素关系图、图中的块部分的内容是风险评价的基本要素，椭圆部分的内容是与基本要素相关联的属性。32、风

9、险评价要素关系图、图中的块部分的内容是风险评价的基本要素，椭圆部分的内容是与基本要素相关联的属性。33、风险评价要素关系图、图中的块部分的内容是风险评价的基本要素、椭圆部分的内容是与基本要素相关的属性。34、风险评价要素关系图、图中的块部分的内容是风险评价的基本要素，椭圆部分的内容是与基本要素相关联的属性。 风险评估在以基本要素为中心展开的同时，必须充分考虑与基本要素相关的各种属性。35、风险评价要素关系图、图中的块部分的内容是风险评价的基本要素、椭圆部分的内容是与基本要素相关的属性。 风险评估在以基本要素为中心展开的同时，必须充分考虑与基本要素相关的各种属性。 (1)业务战略的实现要求资产具

10、有依赖性，依赖度越高风险越小，36、风险评价要素关系图、图中的块部分的内容是风险评价的基本要素椭圆部分的内容是与基本要素相关的属性。 风险评估在以基本要素为中心展开的同时，必须充分考虑与基本要素相关的各种属性。 (1)业务战略的实现对资产有依赖性，依赖度越高要求风险越小；(2)资产有价值，组织的业务战略对资产的依赖度越高，资产价值越大；37、风险评价要素关系图；图中的模块部分的内容是风险评价的基本要素椭圆部分的内容风险评估在以基本要素为中心展开的同时，必须充分考虑与基本要素相关的各种属性。 (1)实现业务战略要求资产具有依赖性，依赖度越高风险越小；(2)资产有价值，组织对业务战略资产的依赖度越

11、高，资产价值越大；(3)风险由威胁引起，资产面临的威胁越多风险越大， 可能发展成安全事件的38、风险评价要素关系图、图中的块部分的内容是风险评价的基本要素椭圆部分的内容是与基本要素相关的属性。 风险评估在以基本要素为中心展开的同时，必须充分考虑与基本要素相关的各种属性。 (1)实现业务战略要求资产具有依赖性，依赖度越高风险越小；(2)资产有价值，组织对业务战略资产的依赖度越高，资产价值越大；(3)风险由威胁引起，资产面临的威胁越多风险越大， 可能发展成安全事件(4)资产的脆弱性可以暴露资产的价值，资产具有的弱点越多风险越大，39、风险评价要素关系图、图中的块部分的内容是风险评价的基本要素椭圆部

12、分的内容是与基本要素相关的属性。 风险评估在以基本要素为中心展开的同时，必须充分考虑与基本要素相关的各种属性。 (1)实现业务战略要求资产具有依赖性，依赖度越高风险越小；(2)资产有价值，组织对业务战略资产的依赖度越高，资产价值越大；(3)风险由威胁引起，资产面临的威胁越多风险越大， 可能发展成安全事件(4)资产的脆弱性可以暴露资产的价值，资产具有的脆弱性越多风险越大(5)脆弱性是不能满足的安全需求，利用脆弱性威胁到资产，40、风险评价要素关系图、图中的模块部分的内容是风险评价要素风险评估在以基本要素为中心展开的同时，必须充分考虑与基本要素相关的各种属性。(1)实现业务战略要求资产具有依赖性，

13、依赖度越高风险越小；(2)资产有价值，组织对业务战略资产的依赖度越高，资产价值越大；(3)风险由威胁引起，资产面临的威胁越多风险越大， 可能发展成安全事件(4)资产的脆弱性可以暴露资产的价值，资产具有的脆弱性越多风险越大(5)脆弱性是不能满足的安全需求，利用脆弱性威胁危害资产(6)导出风险的存在和对风险的认识安全需求，41， 风险评价要素关系图、图中的块部分的内容是风险评价的基本要素椭圆部分的内容是与基本要素相关联的属性。 风险评估在以基本要素为中心展开的同时，必须充分考虑与基本要素相关的各种属性。 (1)实现业务战略要求资产具有依赖性，依赖度越高风险越小；(2)资产有价值，组织对业务战略资产

14、的依赖度越高，资产价值越大；(3)风险由威胁引起，资产面临的威胁越多风险越大， 可能发展成安全事件(4)资产的脆弱性可以暴露资产的价值，资产具有的脆弱性越多风险越大(5)脆弱性是不能满足的安全需求，利用脆弱性威胁危害资产(6)导出风险的存在和对风险的认识安全需求(7) 安全需求可以满足安全措施，必须结合资产价值考虑实施成本，42、风险评估要素关系图、图中块部分的内容是风险评估的基本要素椭圆部分的内容是与基本要素相关的属性。 风险评估在以基本要素为中心展开的同时，必须充分考虑与基本要素相关的各种属性。 (1)实现业务战略要求资产具有依赖性，依赖度越高风险越小；(2)资产有价值，组织对业务战略资产

15、的依赖度越高，资产价值越大；(3)风险由威胁引起，资产面临的威胁越多风险越大， 可能发展成安全事件(4)资产的脆弱性可以暴露资产的价值，资产具有的脆弱性越多风险越大(5)脆弱性是不能满足的安全需求，利用脆弱性威胁危害资产(6)导出风险的存在和对风险的认识安全需求(7) 安全需求可以满足安全措施，必须结合资产价值考虑实施成本；(8)安全措施可以抵抗威胁，降低风险；(43 )风险评估要素关系图、图中的块部分的内容是风险评估的基本要素椭圆部分的内容是与基本要素相关的属性。 风险评估在以基本要素为中心展开的同时，必须充分考虑与基本要素相关的各种属性。 (1)实现业务战略要求资产具有依赖性，依赖度越高风

16、险越小；(2)资产有价值，组织对业务战略资产的依赖度越高，资产价值越大；(3)风险由威胁引起，资产面临的威胁越多风险越大， 可能发展成安全事件(4)资产的脆弱性可以暴露资产的价值，资产具有的脆弱性越多风险越大(5)脆弱性是不能满足的安全需求，利用脆弱性威胁危害资产(6)导出风险的存在和对风险的认识安全需求(7) 安全需求可以满足安全措施，必须结合资产价值考虑实施成本；(8)安全措施可以抵抗威胁，降低风险；(9)残馀风险是未被安全措施控制的风险。 有些风险是安全措施不当或无效的，在综合考虑安全成本和效益的基础上，可以控制的风险需要加强。44、风险评估要素关系图、图中的块部分的内容是风险评估的基本要素椭圆部分的内容是与这些要素相关的属性。 风险评估在以基本要素为中心展开的同时，必须充分考虑与基本要素相关的各种属性。(1)实现业务战略要求资产具有依赖性，依赖度越高风险越小；(2)资产有价值，