国家标准信息技术安全技术信息安全风险管理-全国信息安全标准化.DOC

国家标准《信息安全技术 》编制说明 工作简况 任务来源 《人民共和国网络法》关键信息基础设施网络法，规范信息基础评估由安全研究中心（更名为国家工业信息安全发展研究中心）主要工作过程 1月至3月，《信息安全技术 关键信息基础设施安全检查评估指南》由中国互联网络信息中心牵头，国家计算机网络应急技术处理协调中心，国家信息技术安全研究中心 2017年 2017年4月，向中央网信办领导汇报标准进展工作，拟作为中央网信办布置关键信息基础设施安全检查工作的参考标准。 2016年5月，正式成立标准编制组，标准编制组由五家主要参与单位共同组成，集中讨论集中办公，讨论标准的框架、方法论、具体的内容等。 2016年5月25日，召开第一次专家会，地点在中央网信办，由项目组向中央网信办网络安全协调局杨春艳副局长、各相关处室负责同志及WG7专家进行了汇报，5位WG7专家对标准提出了修改意见。 2016年6-7月，标准编制组继续集中办公，集中讨论，并根据第一次专家会意见逐一进行修订，此外与其他安全厂商、科研单位进行交流，就本标准指标方法听取意见，并最终形成标准第二稿。 2016年 2017年7月21日，编制原则和主要内容 编制原则 《人民共和国网络法》关键信息基础设施网络法，是规范信息基础评估信息基础设施的网络安全防护。关键信息基础设施检查评估的、内容，关键信息基础设施规定了关键信息基础设施检查评估、、总结。指导开展关键信息基础设施工作。关键信息基础设施 本标准适用对象是关键息基础设施运营单位负责信息安全工作的实施者工作的人员。 主要内容 关键信息基础设施检查评估工作是依据国家有关法律与法规要求，参考国家和行业安全标准，针对关键信息基础设施安全要求，通过一定的方法和流程，对信息系统安全状况进行评估，最后给出检查评估对象的整体安全状况的报告。 检查评估工作由合规检查、技术检测和分析评估三个主要方法组成，每个方法包含若干内容和项目。 合规检查 合规检查是通过一定的手段验证检查评估对象是否遵从国家相关法律法规、政策标准、行业标准规定的强制要求，输出是否合规 技术检测 技术检测分为主动方式和被动方式，主动方式是采用专业安全工具，配合专业安全人员，选取合适的技术检测接入点，通过漏洞扫描、渗透测试、社会工程学等常用的安全测试手段，采取远程检测和现场检测相结合的方式，发现其安全性和可能存在的风险隐患，也可参考其他安全检测资料和报告，对技术检测结果进行验证。 被动方式是辅助监测分析手段，通过选取合适的监测接入点，部署相应的监测工具，实时监测并分析检查评估对象 分析评估 分析评估是围绕关键信息基础设施承载业务特点，对关键信息基础设施的关键属性进行识别和分析，依据技术检测发现的安全隐患和问题，参考风险评估方法，对关键属性面临的风险进行风险分析，进而对关键信息基础设施的整体安全状况的评估。 标准充分考虑了当前已有的等级保护相关标准、风险评估标准、及其他行业安全标准，与正在制定的其他WG7系列标准一起，共同形成了支撑关键信息基础设施安全保障的标准体系。本标准与其他国内标准的关联性分析： GB/T 22081-2016《信息安全技术信息系统等级保护基本要求》 是本标准引用的标准之一，本标准在编制之初就深刻理解网络安全法中“关键信息基础设施 GB/T 20984-2007 信息安全技术 信息安全风险评估规范 此外，正在制订的标准草案《信息安全技术关键信息基础设施网络安全保护要求》定义了关键信息基础设施，并对关键信息基础设施保护提出了具体的要求，而本标准中有专门的项是对改要求的验证，强调的是评估流程的标准化、评估内容标准化，以及评估结果的标准化。 此外，正在制定的标准草案《信息安全技术关键信息基础设施安全保障指标体系》与该标准关联，该标准的输出评估结果可以用于标准的量化计算。。 采用国际标准和国外先进标准的程度，以及与国际、国外同类标准水平的对比情况，或与测试的国外样品、样机的有关数据对比情况 重大分歧意见的处理经过和依据 详见意见汇总处理表。 国家标准作为强制性国家标准或推荐性国家标准的建议 建议作为推荐性国家标准发布实施。 其他事项说明 本标准不涉及专利。 标准编制组 201年7月 5