信息安全风评估标准及试点工作情况介绍.ppt

*谢 谢 ！ * SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 国家信息安全风险评估工作 情况介绍 报告人:范红 二00五年五月 * 汇报内容 一、国家风险评估前期工作概述 二、风险评估标准编制情况介绍 三、风险评估标准内容简介 四、风险评估试点工作情况介绍 五、下一步的工作考虑 * 一、国家风险评估前期工作概述为了贯彻落实中办发2003[27]号文件的精神，国信办委托国家信息中心牵头，会同公安部,必威体育官网网址局,中科院和解放军等部门组织专家成立了风险评估课题组。课题组的宗旨是以信息安全风险为切入点,全面了解我国信息安全建设现状,发现问题并寻找应对措施。课题组在2003年下半年对北京,上海,广州和深圳四个地区的十几个行业的五十多家企事单位进行了广泛的调研与走访,完成了我国信息安全风险评估调查报告,同时,课题组对国内外信息安全风险评估工作进行了系统的理论梳理,所完成的信息安全风险评估研究报告做为2004年1月在北京召开全国第一次信息安全保障大会的传阅文件。在这次大会黄菊同志的讲话中要求大家重视风险评估工作,并将风险评估列为我国信息安全保障体系建设要抓的五项基础性工作之一。* 一、国家风险评估前期工作概述为了进一步推动信息安全风险评估工作，在2003年工作基础上，国信办决定2004年继续委托国家信息中心组织信息安全风险评估课题组下一阶段的工作。 　　为了将已有工作做深做实,并为下一步国家出台风险评估指导意见以及进行国家重要信息系统和基础网络的风险评估试点工作做准备，根据国信办领导的指示，课题组在2004年上半年启动了风险评估指南和风险管理指南等标准的编制工作。旨在通过这项工作更好地加强信息安全风险评估及管理，使其流程更加科学、规范和有效，从而促进我国信息安全保障体系的建立，进而推动我国信息化的建设历程。　 * 二、风险评估标准编制情况介绍自任务下达后，国家信息中心组织国内十几家从事过安全风险评估工作的单位开展了信息安全风险评估标准规范的制定工作,对当前大家在评估实践工作默认的共同规范进行归纳、总结、简化与提升。标准编制工作于2004年3月29日正式启动，整个撰写工作分为前期准备阶段、提纲编制阶段、任务细化阶段、整合完成阶段等阶段，历时一年先后完成信息安全评估指南与信息安全管理指南的征求意见稿。 　　 * 标准编制原则（1）立足于我国当前信息化建设现状，对我国信息安全风险评估方法进行总结、归纳、简化与提升，注重吸纳国外相关领域的先进成果并为我所用,使其本土化。 （2)可操作性和实用性。标准是对实际工作的总结与提升，但最终还要用于实践，要经得起实践的检验。因此要可用，可操作。 （3)注重吸收主管部门在评估方面已有的经验与成果。如等级保护、必威体育官网网址检查和产品测评等。（4)科学性与前瞻性。评估标准中要体现科学性。所提供的方法要可信，要具有引领的作用。 * 三、风险评估标准内容简介1、评估指南内容简介2、管理指南内容简介* 三、风险评估标准内容简介1、评估指南内容简介2、管理指南内容简介* 1、风险评估指南内容简介信息安全风险评估指南包括指南文本和附录两部分。其中指南文本由一个前言和8章内容组成，分为以下几部分：1、概述部分；2、模型与流程部分；3、实施部分；4、关联部分。附录部分由二个附录组成。 * 风险评估的定义信息系统的安全风险，是指由于系统存在的脆弱性，人为或自然的威胁导致安全事件发生所造成的影响。信息安全风险评估，则是指依据国家有关信息安全技术标准，对信息系统及由其处理、传输和存储的信息的必威体育官网网址性、完整性和可用性等安全属性进行科学评价的过程，它要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后安全事件发生的可能性，并结合资产的重要程度来识别信息系统的安全风险。 * 术语及定义 资产 价值 威胁 脆弱性 风险 残余风险 风险评估 可用性 必威体育官网网址性 完整性 业务战略 安全事件 安全需求 安全措施 自评估 检查评估 * 风险评估要素关系模型 安全措施抗击 业务战略 脆弱性 安全需求 威胁 风险 残余风险 安全事件 依赖 拥有 被满足 利用 暴露 降低 增加 增加 增加 导出 演变未被满足 未控制 可能诱发 残留 成本 资产 资产价值 * 风险计算模型 资产拥有者 威胁来源 信息资产 威胁 弱点 安全事件 安全风险 （风险值） * 风险评估实施流程 否 是 否 是 风险评估的准备 已有安全措施的确认 风险计算 风险是否接受 保持已有的控制措施 选择适当的控制措施并评估残余