国家信息安全风险评估标准介绍课件.ppt

1、LOGO国家信息安全风险评估工作情况介绍SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 国家信息安全风险评估工作情况介绍3汇报内容汇报内容一、国家风险评估前期工作概述一、国家风险评估前期工作概述二、风险评估标准编制情况介绍二、风险评估标准编制情况介绍三、风险评估标准内容简介三、风险评估标准内容简介四、风险评估试点工作情况介绍四、风险评估试点工作情况介绍五、下一步的工作考虑五

2、、下一步的工作考虑4一、国家风险评估前期工作概述一、国家风险评估前期工作概述 为了贯彻落实中办发为了贯彻落实中办发200327200327号文件的精神，国信办号文件的精神，国信办委托国家信息中心牵头，会同公安部委托国家信息中心牵头，会同公安部,保密局保密局,中科院和解中科院和解放军等部门组织专家成立了风险评估课题组。课题组的宗放军等部门组织专家成立了风险评估课题组。课题组的宗旨是以信息安全风险为切入点旨是以信息安全风险为切入点,全面了解我国信息安全建设全面了解我国信息安全建设现状现状,发现问题并寻找应对措施发现问题并寻找应对措施。课题组在课题组在2003年下半年对年下半年对北京北京,上海上海,

3、广州和深圳四个地区的十几个行业的五十多家企广州和深圳四个地区的十几个行业的五十多家企事单位进行了广泛的调研与走访事单位进行了广泛的调研与走访,完成了我国信息安全风险完成了我国信息安全风险评估调查报告评估调查报告,同时同时,课题组对国内外信息安全风险评估工作课题组对国内外信息安全风险评估工作进行了系统的理论梳理进行了系统的理论梳理,所完成的信息安全风险评估研究报所完成的信息安全风险评估研究报告做为告做为2004年年1月在北京召开全国第一次信息安全保障大会月在北京召开全国第一次信息安全保障大会的传阅文件的传阅文件。在这次大会黄菊同志的讲话中要求大家重视。在这次大会黄菊同志的讲话中要求大家重视风险评

4、估工作风险评估工作,并将风险评估列为我国信息安全保障体系建并将风险评估列为我国信息安全保障体系建设要抓的五项基础性工作之一设要抓的五项基础性工作之一。5一、国家风险评估前期工作概述一、国家风险评估前期工作概述 为了进一步推动信息安全风险评估工作，在为了进一步推动信息安全风险评估工作，在20032003年年工作基础上，国信办决定工作基础上，国信办决定20042004年继续委托国家信息中心年继续委托国家信息中心组织信息安全风险评估课题组下一阶段的工作。组织信息安全风险评估课题组下一阶段的工作。为了将已有工作做深做实为了将已有工作做深做实,并为下一步国家出台风并为下一步国家出台风险评估指导意见以及进

5、行国家重要信息系统和基础网络险评估指导意见以及进行国家重要信息系统和基础网络的风险评估试点工作做准备，根据国信办领导的指示，的风险评估试点工作做准备，根据国信办领导的指示，课题组在课题组在20042004年上半年启动了风险评估指南和风险管理年上半年启动了风险评估指南和风险管理指南等标准的编制工作。旨在通过这项工作更好地加强指南等标准的编制工作。旨在通过这项工作更好地加强信息安全风险评估及管理，使其流程更加科学、规范和信息安全风险评估及管理，使其流程更加科学、规范和有效，从而促进我国信息安全保障体系的建立，进而推有效，从而促进我国信息安全保障体系的建立，进而推动我国信息化的建设历程。动我国信息化

6、的建设历程。6二、风险评估标准编制情况介绍二、风险评估标准编制情况介绍 自任务下达后，自任务下达后，国家信息中心组织国内十几家从事过国家信息中心组织国内十几家从事过安全风险评估工作的单位开展了信息安全风险评估标准规安全风险评估工作的单位开展了信息安全风险评估标准规范的制定工作范的制定工作,对当前大家在评估实践工作默认的共同规对当前大家在评估实践工作默认的共同规范进行归纳、总结、简化与提升。范进行归纳、总结、简化与提升。标准编制工作于标准编制工作于20042004年年3 3月月2929日正式启动，整个撰写工日正式启动，整个撰写工作分为作分为前期准备阶段、提纲编制阶段、任务细化阶段、整前期准备阶段

7、、提纲编制阶段、任务细化阶段、整合完成阶段等阶段，合完成阶段等阶段，历时一年历时一年先后完成先后完成与与的征求意见稿。的征求意见稿。7标准编制原则标准编制原则 （1 1）立足于我国当前信息化建设现状，对我国信息）立足于我国当前信息化建设现状，对我国信息安全风险评估方法进行总结、归纳、简化与提升，注重安全风险评估方法进行总结、归纳、简化与提升，注重吸纳国外相关领域的先进成果并为我所用吸纳国外相关领域的先进成果并为我所用,使其本土化。使其本土化。（2)2)可操作性和实用性。标准是对实际工作的总结与可操作性和实用性。标准是对实际工作的总结与提升，但最终还要用于实践，要经得起实践的检验。因提升，但最终

8、还要用于实践，要经得起实践的检验。因此要可用，可操作。此要可用，可操作。（3)3)注重吸收主管部门在评估方面已有的经验与成果注重吸收主管部门在评估方面已有的经验与成果。如等级保护、保密检查和产品测评等。如等级保护、保密检查和产品测评等。（4)4)科学性与前瞻性。评估标准中要体现科学性。所科学性与前瞻性。评估标准中要体现科学性。所提供的方法要可信，要具有引领的作用。提供的方法要可信，要具有引领的作用。8三、风险评估标准内容简介三、风险评估标准内容简介 1 1、评估指南内容简介、评估指南内容简介 2 2、管理指南内容简介、管理指南内容简介 9三、风险评估标准内容简介三、风险评估标准内容简介 1 1

9、、评估指南内容简介、评估指南内容简介 2 2、管理指南内容简介、管理指南内容简介 101、风险评估指南内容简介、风险评估指南内容简介 包括指南文本包括指南文本和附录两部分。其中指南文本由一个前言和和附录两部分。其中指南文本由一个前言和8 8章内容组成，分为以下几部分：章内容组成，分为以下几部分：1 1、概述部分；、概述部分；2 2、模型与流程部分；、模型与流程部分；3 3、实施部分；、实施部分；4 4、关联部分。、关联部分。附录部分由二个附录组成。附录部分由二个附录组成。11风险评估的定义风险评估的定义 信息系统的安全风险，是指由于系统存在的脆弱信息系统的安全风险，是指由于系统存在的脆弱性，人

10、为或自然的威胁导致安全事件发生所造成的影响。性，人为或自然的威胁导致安全事件发生所造成的影响。信息安全风险评估，则是指依据国家有关信息安全技术信息安全风险评估，则是指依据国家有关信息安全技术标准，对信息系统及由其处理、传输和存储的信息的保标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程，密性、完整性和可用性等安全属性进行科学评价的过程，它要评估信息系统的脆弱性、信息系统面临的威胁以及它要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后安全事件发生的可能性，并结合脆弱性被威胁源利用后安全事件发生的可能性，并结合资产的重要程度来识别信

11、息系统的安全风险。资产的重要程度来识别信息系统的安全风险。12术语及定义术语及定义资产资产价值价值威胁威胁脆弱性脆弱性风险风险残余风险残余风险风险评估风险评估可用性可用性保密性保密性完整性完整性业务战略业务战略安全事件安全事件安全需求安全需求安全措施安全措施自评估自评估检查评估检查评估13风险评估要素关系模型风险评估要素关系模型安全措施 抗击业务战略脆弱性安全需求威胁风险残余风险安全事件依赖拥有被满足利用暴露降低增加增加增加导出演变 未被满足未控制可能诱发残留成本资产资产价值14风险计算模型风险计算模型资产拥有者威胁来源信息资产威胁弱点安全事件安全风险（风险值）15风险评估实施流程风险评估实施

12、流程否是否是风险评估的准备已有安全措施的确认风险计算风险是否接受保持已有的控制措施选择适当的控制措施并评估残余风险实施风险管理脆弱性识别威胁识别资产识别是否接受残余风险 风险识别评估过程文档评估过程文档风险评估结果记录评估结果文档16 风险评估的形式及角色运用风险评估的形式及角色运用 评估评估指南根据评估的发起方的不同，将风险评估形式指南根据评估的发起方的不同，将风险评估形式分为自评估和分为自评估和检查检查评估两大类。自评估是由被评估信息系评估两大类。自评估是由被评估信息系统的拥有者发起的，并依靠自身的力量，对其自身的信息统的拥有者发起的，并依靠自身的力量，对其自身的信息系统进行的风险评估活动

13、。系统进行的风险评估活动。检查检查评估则通常是被评估信息评估则通常是被评估信息系统的拥有者的上级主管机关或业务主管机关发起的，旨系统的拥有者的上级主管机关或业务主管机关发起的，旨在依据已经颁布的法规或标准进行的，具有强制意味的检在依据已经颁布的法规或标准进行的，具有强制意味的检查活动，是通过行政手段加强信息安全的重要措施查活动，是通过行政手段加强信息安全的重要措施。信息信息安全风险评估服务机构安全风险评估服务机构可为可为自评估和自评估和检查检查评估评估提供提供风险评风险评估的咨询、培训估的咨询、培训等服务等服务以及以及提供提供风险评估风险评估的的有关工具有关工具和手和手段段。17在风险评估指南

14、的文本部分，我们试图给出进行在风险评估指南的文本部分，我们试图给出进行风险评估的一个路线图（实施流程），以及这个路线风险评估的一个路线图（实施流程），以及这个路线图中包括的若干关键点（关键步骤）和从一个关键点图中包括的若干关键点（关键步骤）和从一个关键点到另一个关键点的原则。这些也是参与编制工作的人到另一个关键点的原则。这些也是参与编制工作的人员共同讨论的结果。这也体现了做为国家标准对于通员共同讨论的结果。这也体现了做为国家标准对于通用规律的把握。同时，为了避免过程的僵硬，以及体用规律的把握。同时，为了避免过程的僵硬，以及体现评估中定量与定性的结合的特点，对于一些具体的现评估中定量与定性的结合

15、的特点，对于一些具体的实现细节指南进行了开放性地处理，放到了附录部分。实现细节指南进行了开放性地处理，放到了附录部分。即在附录中给出了当前较为常用的风险计算方法与工即在附录中给出了当前较为常用的风险计算方法与工具以供选择，此部分将随着技术的发展而不断更新。具以供选择，此部分将随着技术的发展而不断更新。18三、风险评估标准内容简介三、风险评估标准内容简介 1 1、评估指南内容简介、评估指南内容简介 2 2、管理指南内容简介、管理指南内容简介 192、风险管理指南内容简介、风险管理指南内容简介 的文本由一个前言和的文本由一个前言和1414个章节组成，主要包括以下几方面的内容：个章节组成，主要包括以

16、下几方面的内容：1 1、信息安全风险管理的目的和意义信息安全风险管理的目的和意义2 2、信息安全风险管理的范围和对象信息安全风险管理的范围和对象3、信息安全风险管理的角色和责任信息安全风险管理的角色和责任4 4、信息安全风险管理的内容和过程信息安全风险管理的内容和过程5 5、风险管理在信息系统生命周期不同阶段的运用风险管理在信息系统生命周期不同阶段的运用20信息安全风险管理的目的和意义信息安全风险管理的目的和意义 信息安全风险管理是信息安全保障工作中的一信息安全风险管理是信息安全保障工作中的一项基础性工作项基础性工作 。（1 1）信息安全风险管理体现在信息安全保障体系）信息安全风险管理体现在信

17、息安全保障体系的技术、组织和管理等方面。的技术、组织和管理等方面。（2 2）信息安全风险管理贯穿信息系统生命周期的）信息安全风险管理贯穿信息系统生命周期的全部过程。全部过程。（3 3）信息安全风险管理依据等级保护的思想和适）信息安全风险管理依据等级保护的思想和适度安全的原则，平衡成本与效益，合理部署和利用信度安全的原则，平衡成本与效益，合理部署和利用信息安全的信任体系、监控体系和应急处理等重要的基息安全的信任体系、监控体系和应急处理等重要的基础设施，确定合适的安全措施，从而确保机构具有完础设施，确定合适的安全措施，从而确保机构具有完成其使命的信息安全保障能力。成其使命的信息安全保障能力。21信

18、息安全风险管理的范围和对象信息安全风险管理的范围和对象22风险管理的内容和过程风险管理的内容和过程 23三维结构关系三维结构关系 24四、风险评估试点工作情况介绍四、风险评估试点工作情况介绍 1 1、整体工作介绍、整体工作介绍2 2、专家组的工作安排、专家组的工作安排3 3、规划与设计阶段风险评估实施细则、规划与设计阶段风险评估实施细则251、整体工作介绍、整体工作介绍 在前述工作的基础上，为制定在前述工作的基础上，为制定提供实践依据提供实践依据，以及在实践中进一步修改完善两项国家标准，以及在实践中进一步修改完善两项国家标准，国信办联合有关部门和地方在，国信办联合有关部门和地方在2005200

19、5年对银行年对银行、税务、电力、国家电子政务外网等重要信息、税务、电力、国家电子政务外网等重要信息系统和关键基础设施以及北京市、上海市、黑系统和关键基础设施以及北京市、上海市、黑龙江省、云南省等地方的电子政务系统启动了龙江省、云南省等地方的电子政务系统启动了风险评估试点工作。风险评估试点工作。26 试点工作分为准备阶段、实施阶段和总结阶段，工作试点工作分为准备阶段、实施阶段和总结阶段，工作时间为时间为8 8个月。各试点单位将依据个月。各试点单位将依据和和，结合自身的具体情，结合自身的具体情况，选择相应的风险评估方法和适当的工具，制定风险况，选择相应的风险评估方法和适当的工具，制定风险评估实施方

20、案，并在评估实践中进一步检验标准的完备评估实施方案，并在评估实践中进一步检验标准的完备性和适用性，同时摸索国家进一步开展风险评估工作的性和适用性，同时摸索国家进一步开展风险评估工作的实践经验。试点工作中还将检验自评估、检查评估等不实践经验。试点工作中还将检验自评估、检查评估等不同信息安全风险评估工作模式的实践效果，为国家信息同信息安全风险评估工作模式的实践效果，为国家信息安全主管部门制定信息安全管理政策提供客观依据；了安全主管部门制定信息安全管理政策提供客观依据；了解和掌握被评估的信息系统的安全风险状况，为信息系解和掌握被评估的信息系统的安全风险状况，为信息系统的使用管理部门制定安全策略、采取

21、安全措施提供决统的使用管理部门制定安全策略、采取安全措施提供决策建议。策建议。272、专家组的工作安排、专家组的工作安排 为了完成两项国标的修改与完善工作，在国信办原有的为了完成两项国标的修改与完善工作，在国信办原有的风险评估课题组的基础上，成立了国信办风险评估试点工作风险评估课题组的基础上，成立了国信办风险评估试点工作专家组，其主要任务为：专家组，其主要任务为：在准备阶段组织八个试点单位的相关人员进行培训，明在准备阶段组织八个试点单位的相关人员进行培训，明确风险评估流程和风险评估准备阶段的任务，协助试点单位确风险评估流程和风险评估准备阶段的任务，协助试点单位制定其风险评估实施方案。制定其风险

22、评估实施方案。在实施阶段到各试点单位调研，选择重点行业的单位进在实施阶段到各试点单位调研，选择重点行业的单位进行阶段性的蹲点，广泛调研其试点方案实施情况，了解各单行阶段性的蹲点，广泛调研其试点方案实施情况，了解各单位在试点过程中对评估及管理的流程、方法、工具和手段的位在试点过程中对评估及管理的流程、方法、工具和手段的使用存在的问题，不断充实和完善标准。使用存在的问题，不断充实和完善标准。282、专家组的工作安排、专家组的工作安排 在总结阶段将汇总各试点单位的试点工作情况，完在总结阶段将汇总各试点单位的试点工作情况，完善准的修改意见。在各试点单位正式总结之前，召开评善准的修改意见。在各试点单位正

23、式总结之前，召开评审会为国信办试点工作总结提供基础素材。审会为国信办试点工作总结提供基础素材。充实和完善充实和完善信息安全风险评估指南信息安全风险评估指南和和信息安信息安 全风险管理指南全风险管理指南，通过试点工作提出两个标准的修改，通过试点工作提出两个标准的修改意见，根据国信办领导的指示，两项国标将经过试点工意见，根据国信办领导的指示，两项国标将经过试点工作的完善与修改，于作的完善与修改，于2005年年底完成并正式报为国标。年年底完成并正式报为国标。同时与标准相关的配套理论、方法和规范的研究目前正同时与标准相关的配套理论、方法和规范的研究目前正在进行之中。在进行之中。此外，专家组还将协助风险

24、评估试点工作领导小组此外，专家组还将协助风险评估试点工作领导小组制定制定关于开展信息安全风险评估工作的意见关于开展信息安全风险评估工作的意见。293、规划与设计阶段风险评估实施细则、规划与设计阶段风险评估实施细则 30 电子政务网络规划与设计阶段风险评估项目工作指南电子政务网络规划与设计阶段风险评估项目工作指南资产定位方法指南资产定位方法指南确定脆弱性方法指南确定脆弱性方法指南确定威胁方法指南确定威胁方法指南电子政务网络规划与设计阶段风险评估实施细则电子政务网络规划与设计阶段风险评估实施细则电子政务外网规划与设计阶段风险评估实施案例电子政务外网规划与设计阶段风险评估实施案例31五、下一步的工作考虑五、下一步的工作考虑 32 谢谢 谢谢！*PPT模板下载：