信息安全风险评估国家标准介绍.pptx
《信息安全风险评估国家标准介绍.pptx》由会员分享,可在线阅读,更多相关《信息安全风险评估国家标准介绍.pptx(103页珍藏版)》请在咨信网上搜索。
1、1信息安全风险评估信息安全风险评估标准化工作情况介绍标准化工作情况介绍国家信息中心信息安全研究与服务中心范红昆明2006年3月2前言前言 20032003年年7 7月以来,信息安全风险评估国家标准月以来,信息安全风险评估国家标准经过前期的调查与研究,开始了编制工作。两年多来,在经过前期的调查与研究,开始了编制工作。两年多来,在国信办和有关主管部门具体指导下,在信安标委大力支持国信办和有关主管部门具体指导下,在信安标委大力支持下,经过科研单位、企业的专家以及业内人士共同努力,下,经过科研单位、企业的专家以及业内人士共同努力,协力工作,目前协力工作,目前信息安全风险评估指南信息安全风险评估指南等标
2、准的编制等标准的编制工作已基本完成。工作已基本完成。现将有关情况简要汇报如下。现将有关情况简要汇报如下。3汇报内容汇报内容一、标准的编制过程一、标准的编制过程二、标准的主要内容二、标准的主要内容三、下一步工作的几点思考三、下一步工作的几点思考4汇报内容汇报内容一、标准的编制过程一、标准的编制过程二、标准的主要内容二、标准的主要内容三、下一步工作的几点思考三、下一步工作的几点思考5一、标准的编制过程一、标准的编制过程1 1、前期研究准备、前期研究准备2 2、标准草案编制标准草案编制3 3、试点实践验证、试点实践验证6一、标准的编制过程一、标准的编制过程1 1、前期研究准备、前期研究准备2 2、标
3、准草案编制标准草案编制3 3、试点实践验证、试点实践验证7 1、前期研究准备、前期研究准备 20032003年年年年7 7 7 7月月月月,中办发中办发中办发中办发200327200327200327200327号文件对开展信息号文件对开展信息号文件对开展信息号文件对开展信息安全风险评估工作提出了明确的要求。国信办委托国家信安全风险评估工作提出了明确的要求。国信办委托国家信安全风险评估工作提出了明确的要求。国信办委托国家信安全风险评估工作提出了明确的要求。国信办委托国家信息中心牵头息中心牵头息中心牵头息中心牵头,成立了国家信息安全风险评估课题组,对信成立了国家信息安全风险评估课题组,对信成立了
4、国家信息安全风险评估课题组,对信成立了国家信息安全风险评估课题组,对信息安全风险评估相关工作展开调查研究。课题组利用半年息安全风险评估相关工作展开调查研究。课题组利用半年息安全风险评估相关工作展开调查研究。课题组利用半年息安全风险评估相关工作展开调查研究。课题组利用半年多的时间,对我国信息安全风险评估现状进行了深入调查,多的时间,对我国信息安全风险评估现状进行了深入调查,多的时间,对我国信息安全风险评估现状进行了深入调查,多的时间,对我国信息安全风险评估现状进行了深入调查,掌握了第一手情况;对国内外相关领域的理论进行了学习、掌握了第一手情况;对国内外相关领域的理论进行了学习、掌握了第一手情况;
5、对国内外相关领域的理论进行了学习、掌握了第一手情况;对国内外相关领域的理论进行了学习、分析和研究,查阅了大量的相关资料,基本了解了此领域分析和研究,查阅了大量的相关资料,基本了解了此领域分析和研究,查阅了大量的相关资料,基本了解了此领域分析和研究,查阅了大量的相关资料,基本了解了此领域的国际前沿动态。这些都为标准编制工作奠定了良好的基的国际前沿动态。这些都为标准编制工作奠定了良好的基的国际前沿动态。这些都为标准编制工作奠定了良好的基的国际前沿动态。这些都为标准编制工作奠定了良好的基础。础。础。础。8 统统一的风险评估技术标准是规范开展信息安全风险一的风险评估技术标准是规范开展信息安全风险一的风
6、险评估技术标准是规范开展信息安全风险一的风险评估技术标准是规范开展信息安全风险评估工作的必备条件。落实中办发评估工作的必备条件。落实中办发评估工作的必备条件。落实中办发评估工作的必备条件。落实中办发27272727号文件、全面推进我号文件、全面推进我号文件、全面推进我号文件、全面推进我国的信息安全风险评估工作,首先就必须解决我国缺乏统国的信息安全风险评估工作,首先就必须解决我国缺乏统国的信息安全风险评估工作,首先就必须解决我国缺乏统国的信息安全风险评估工作,首先就必须解决我国缺乏统一的风险评估技术标准的问题。一的风险评估技术标准的问题。一的风险评估技术标准的问题。一的风险评估技术标准的问题。为
7、此,国信办领导根据专家们的建议,决定着手开展为此,国信办领导根据专家们的建议,决定着手开展为此,国信办领导根据专家们的建议,决定着手开展为此,国信办领导根据专家们的建议,决定着手开展信息安全风险评估国家标准的编制工作及相关实践活动。信息安全风险评估国家标准的编制工作及相关实践活动。信息安全风险评估国家标准的编制工作及相关实践活动。信息安全风险评估国家标准的编制工作及相关实践活动。旨在通过这项工作更好地加强国家基础网络和重要信息系旨在通过这项工作更好地加强国家基础网络和重要信息系旨在通过这项工作更好地加强国家基础网络和重要信息系旨在通过这项工作更好地加强国家基础网络和重要信息系统的风险评估及管理
8、工作,使其流程更加科学、统一、规统的风险评估及管理工作,使其流程更加科学、统一、规统的风险评估及管理工作,使其流程更加科学、统一、规统的风险评估及管理工作,使其流程更加科学、统一、规范、有效。范、有效。范、有效。范、有效。9一、标准的编制过程一、标准的编制过程1 1、前期研究准备、前期研究准备2 2、标准草案编制标准草案编制3 3、试点实践验证、试点实践验证10 根根据国信办的指示和信安标委的具体要求,国家信据国信办的指示和信安标委的具体要求,国家信据国信办的指示和信安标委的具体要求,国家信据国信办的指示和信安标委的具体要求,国家信息中心组织北京信息安全测评中心、上海市测评认证中心、息中心组织
9、北京信息安全测评中心、上海市测评认证中心、息中心组织北京信息安全测评中心、上海市测评认证中心、息中心组织北京信息安全测评中心、上海市测评认证中心、国家保密技术研究所、公安部三所以及国家保密技术研究所、公安部三所以及国家保密技术研究所、公安部三所以及国家保密技术研究所、公安部三所以及BJCABJCA、上海三零卫、上海三零卫、上海三零卫、上海三零卫士、联想、天融信、启明星辰、绿盟、科飞、凝瑞等国内士、联想、天融信、启明星辰、绿盟、科飞、凝瑞等国内士、联想、天融信、启明星辰、绿盟、科飞、凝瑞等国内士、联想、天融信、启明星辰、绿盟、科飞、凝瑞等国内十几家企事业单位十几家企事业单位十几家企事业单位十几家
10、企事业单位于于于于2004200420042004年年年年3 3 3 3月月月月29292929日正式启动标准草案的编日正式启动标准草案的编日正式启动标准草案的编日正式启动标准草案的编制工作制工作制工作制工作。起草组在前期准备工作的基础上,经过多次研究探讨,起草组在前期准备工作的基础上,经过多次研究探讨,起草组在前期准备工作的基础上,经过多次研究探讨,起草组在前期准备工作的基础上,经过多次研究探讨,确定了编制标准应确定了编制标准应确定了编制标准应确定了编制标准应遵循的原则遵循的原则遵循的原则遵循的原则:2、标准草案编制、标准草案编制11 1 1 1 1、符合我国现行的信息安全有关法律法规的要求
11、,、符合我国现行的信息安全有关法律法规的要求,、符合我国现行的信息安全有关法律法规的要求,、符合我国现行的信息安全有关法律法规的要求,认真贯彻落实认真贯彻落实认真贯彻落实认真贯彻落实27272727号文件关于加强信息安全风险评估工作的号文件关于加强信息安全风险评估工作的号文件关于加强信息安全风险评估工作的号文件关于加强信息安全风险评估工作的精神;精神;精神;精神;2 2 2 2、立足于我国信息化建设实践,积极借鉴国际先进、立足于我国信息化建设实践,积极借鉴国际先进、立足于我国信息化建设实践,积极借鉴国际先进、立足于我国信息化建设实践,积极借鉴国际先进标准的技术,提出符合我国基础网络和重要信息系
12、统工程标准的技术,提出符合我国基础网络和重要信息系统工程标准的技术,提出符合我国基础网络和重要信息系统工程标准的技术,提出符合我国基础网络和重要信息系统工程建设需求的风险评估规范;建设需求的风险评估规范;建设需求的风险评估规范;建设需求的风险评估规范;3 3 3 3、针对网络与信息系统的全生命周期,制订适应不、针对网络与信息系统的全生命周期,制订适应不、针对网络与信息系统的全生命周期,制订适应不、针对网络与信息系统的全生命周期,制订适应不同阶段特点和要求的风险评估实施方法;同阶段特点和要求的风险评估实施方法;同阶段特点和要求的风险评估实施方法;同阶段特点和要求的风险评估实施方法;4 4 4 4
13、、积极吸收信息安全有关主管部门和单位在等级保、积极吸收信息安全有关主管部门和单位在等级保、积极吸收信息安全有关主管部门和单位在等级保、积极吸收信息安全有关主管部门和单位在等级保护、保密检查和产品测评等工作的经验与成果;护、保密检查和产品测评等工作的经验与成果;护、保密检查和产品测评等工作的经验与成果;护、保密检查和产品测评等工作的经验与成果;5 5 5 5、标准文本体系结构科学合理,表述清晰,具有可、标准文本体系结构科学合理,表述清晰,具有可、标准文本体系结构科学合理,表述清晰,具有可、标准文本体系结构科学合理,表述清晰,具有可实现性和可操作性。实现性和可操作性。实现性和可操作性。实现性和可操
14、作性。12 在在标标准准编编制制的的过过程程中中,标标准准起起草草组组多多次次与与相相关关主主管管部部门门所所属属机机构构的的专专家家代代表表就就技技术术标标准准有有关关主主体体内内容容进进行行会会商商;向向相相关关单单位位发发放放标标准准文文本本,通通过过电电子子邮邮件件等等形形式式广广泛泛征征求求业业界界意意见见;召召开开标标准准讨讨论论会会议议三三十十几几次次,共共收收集集近近100100条修改意见。条修改意见。起起草草组组逐逐一一对对修修改改意意见见进进行行研研究究,在在充充分分吸吸纳纳合合理理成成份份的的基基础础上上,对对信信息息安安全全风风险险评评估估指指南南等等标标准准进进行行了
15、了较大幅度的修改,使标准的体系结构更趋完善、合理。较大幅度的修改,使标准的体系结构更趋完善、合理。13一、标准的制定过程一、标准的制定过程1 1、前期研究准备、前期研究准备2 2、标准草案编制标准草案编制3 3、试点实践验证、试点实践验证14 3、试点实践验证、试点实践验证 20052005年年2 2月月,根根据据国国信信办办2005420054号号和和5 5号号文文件件,关关于于在在银银行行、税税务务、电电力力等等部部门门和和电电子子政政务务外外网网,以以及及北北京京、上上海海、黑黑龙龙江江、云云南南等等省省市市,开开展展信信息息安安全全风风险险评评估估试试点点工工作作的的要要求求,标标准准
16、起起草草组组配配合合风风险险评评估估试试点点工工作作专专家家组开展了以下工作:组开展了以下工作:-为各试点单位提供标准草案文本和相关说明;为各试点单位提供标准草案文本和相关说明;-在试点准备阶段与各试点单位的技术骨干进行标在试点准备阶段与各试点单位的技术骨干进行标 准技术交流;准技术交流;-根据标准草案文本涉及的关键技术,起草组成员根据标准草案文本涉及的关键技术,起草组成员 选择试点环节参与实际试点;选择试点环节参与实际试点;-在试点过程中,先后几次召开标准研讨会,征求在试点过程中,先后几次召开标准研讨会,征求 各单位对标准的意见与建议。各单位对标准的意见与建议。15 整整个试点工作历时个试点
17、工作历时7 7个月,个月,各试点单位对标准草案各试点单位对标准草案先后提出先后提出40 多条补充修改意见,标准起草组多条补充修改意见,标准起草组根据试点结根据试点结果果先后进行了三次较大规模的修改。主要内容包括:先后进行了三次较大规模的修改。主要内容包括:-细化了资产的分类方法、脆弱性的识别要求,修细化了资产的分类方法、脆弱性的识别要求,修 改并细化了风险计算的方法;改并细化了风险计算的方法;-对自评估、检查评估不同评估形式的内容与实施对自评估、检查评估不同评估形式的内容与实施 的重点进行了区分;的重点进行了区分;-对风险评估的工具进行了梳理和区分,形成了现对风险评估的工具进行了梳理和区分,形
18、成了现 在的几种类型;在的几种类型;-细化了生命周期不同阶段风险评估的主要内容。细化了生命周期不同阶段风险评估的主要内容。试点实践证明,试行标准基本满足各试点单位评估试点实践证明,试行标准基本满足各试点单位评估工作的需求。工作的需求。16 20052005年年9 9月月1616日日,信信息息安安全全风风险险评评估估指指南南顺顺利利通通过过由由周周仲仲义义院院士士主主持持的的第第一一次次评评审。审。1010月月2727日日第第二二次次专专家家评评审审会会上上,参参评评专专家家一一致致认认为为指指南南的的操操作作性性较较强强,对对开开展展风风险险评评估估工工作作具具有有指指导导作作用用,并并在在国
19、国信信办办组组织织的的风风险险评评估估试试点点中中得得到到了了进进一一步步的的实实践践验验证证和和充充实实完完善善,达到国家标准送审稿的要求,同意通过评审。达到国家标准送审稿的要求,同意通过评审。1212月月1414日日,由由安安标标委委第第五五工工作作组组主主持持召召开开了了由由沈沈昌昌祥祥院院士士为为专专家家组组组组长长的的信信息息安安全全风风险险评评估估指指南南(送送审审稿稿)专专家家评评审审会会,得得到到与与会会专专家的一致肯定并通过评审。家的一致肯定并通过评审。17汇报内容汇报内容一、标准的编制过程一、标准的编制过程二、标准的主要内容二、标准的主要内容三、下一步工作的几点思考三、下一
20、步工作的几点思考18二、标准的主要内容二、标准的主要内容1 1、什么是风险评估、什么是风险评估2 2、为什么要做风险评估、为什么要做风险评估3 3、风险评估怎么做、风险评估怎么做19二、标准的主要内容二、标准的主要内容1 1、什么是风险评估、什么是风险评估2 2、为什么要做风险评估、为什么要做风险评估3 3、风险评估怎么做、风险评估怎么做201 1、什么是风险评估、什么是风险评估 信信息安全风险评估,是从风险管理角息安全风险评估,是从风险管理角度,运用科学的方法和手段,系统地分析网度,运用科学的方法和手段,系统地分析网络与信息系统所面临的威胁及其存在的脆弱络与信息系统所面临的威胁及其存在的脆弱
21、性,评估安全事件一旦发生可能造成的危害性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策程度,提出有针对性的抵御威胁的防护对策和整改措施。并为防范和化解信息安全风险,和整改措施。并为防范和化解信息安全风险,或者将风险控制在可接受的水平,从而最大或者将风险控制在可接受的水平,从而最大限度地保障网络和信息安全提供科学依据限度地保障网络和信息安全提供科学依据(国信国信办办2006520065号文件号文件)。)。21风险评估要素关系图风险评估要素关系图 22风险评估要素关系图风险评估要素关系图 图中方框部分的内容为风险评估的基图中方框部分的内容为风险评估的基本要素本要素;23
22、风险评估要素关系图风险评估要素关系图 图中方框部分的内容为风险评估的基图中方框部分的内容为风险评估的基本要素本要素;24风险评估要素关系图风险评估要素关系图 图中方框部分的内容为风险评估的基图中方框部分的内容为风险评估的基本要素本要素;25风险评估要素关系图风险评估要素关系图 图中方框部分的内容为风险评估的基图中方框部分的内容为风险评估的基本要素本要素;26风险评估要素关系图风险评估要素关系图 图中方框部分的内容为风险评估的基图中方框部分的内容为风险评估的基本要素本要素;27风险评估要素关系图风险评估要素关系图 图中方框部分的内容为风险评估的基图中方框部分的内容为风险评估的基本要素本要素;28
23、风险评估要素关系图风险评估要素关系图 图中方框部分的内容为风险评估的基图中方框部分的内容为风险评估的基本要素本要素;椭圆部分的内容是与基本要素相椭圆部分的内容是与基本要素相关的属性。关的属性。29风险评估要素关系图风险评估要素关系图 图中方框部分的内容为风险评估的基图中方框部分的内容为风险评估的基本要素本要素;椭圆部分的内容是与基本要素相椭圆部分的内容是与基本要素相关的属性。关的属性。30风险评估要素关系图风险评估要素关系图 图中方框部分的内容为风险评估的基图中方框部分的内容为风险评估的基本要素本要素;椭圆部分的内容是与基本要素相椭圆部分的内容是与基本要素相关的属性。关的属性。31风险评估要素
24、关系图风险评估要素关系图 图中方框部分的内容为风险评估的基图中方框部分的内容为风险评估的基本要素本要素;椭圆部分的内容是与基本要素相椭圆部分的内容是与基本要素相关的属性。关的属性。32风险评估要素关系图风险评估要素关系图 图中方框部分的内容为风险评估的基图中方框部分的内容为风险评估的基本要素本要素;椭圆部分的内容是与基本要素相椭圆部分的内容是与基本要素相关的属性。关的属性。33风险评估要素关系图风险评估要素关系图 图中方框部分的内容为风险评估的基图中方框部分的内容为风险评估的基本要素本要素;椭圆部分的内容是与基本要素相椭圆部分的内容是与基本要素相关的属性。关的属性。34风险评估要素关系图风险评
25、估要素关系图 图中方框部分的内容为风险评估的基图中方框部分的内容为风险评估的基本要素本要素;椭圆部分的内容是与基本要素相椭圆部分的内容是与基本要素相关的属性。关的属性。风险评估围绕着基本要素展开,同时风险评估围绕着基本要素展开,同时需要充分考虑与基本要素相关的各类属性。需要充分考虑与基本要素相关的各类属性。35风险评估要素关系图风险评估要素关系图 图中方框部分的内容为风险评估的基图中方框部分的内容为风险评估的基本要素本要素;椭圆部分的内容是与基本要素相椭圆部分的内容是与基本要素相关的属性。关的属性。风险评估围绕着基本要素展开,同时风险评估围绕着基本要素展开,同时需要充分考虑与基本要素相关的各类
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息 安全 风险 评估 国家标准 介绍
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【胜****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【胜****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。