信息安全風(fēng)險(xiǎn)評估標(biāo)準(zhǔn)編制與內(nèi)容介紹

信息安全風(fēng)險(xiǎn)評估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹1主要內(nèi)容一、標(biāo)準(zhǔn)的編制過程二、標(biāo)準(zhǔn)的主要內(nèi)容三、下一步工作的幾點(diǎn)思考2主要內(nèi)容一、標(biāo)準(zhǔn)的編制過程二、標(biāo)準(zhǔn)的主要內(nèi)容三、下一步工作的幾點(diǎn)思考3一、標(biāo)準(zhǔn)的編制過程1、前期研究準(zhǔn)備2、標(biāo)準(zhǔn)草案編制3、試點(diǎn)實(shí)踐檢驗(yàn)4、專家評審論證4一、標(biāo)準(zhǔn)的編制過程1、前期研究準(zhǔn)備2、標(biāo)準(zhǔn)草案編制3、試點(diǎn)實(shí)踐檢驗(yàn)4、專家評審論證5

1、前期研究準(zhǔn)備

2003年7月,中辦發(fā)[2003]27號(hào)文件對開展信息安全風(fēng)險(xiǎn)評估工作提出了明確的要求。國信辦委托國家信息中心牽頭，成立了國家信息安全風(fēng)險(xiǎn)評估課題組，對信息安全風(fēng)險(xiǎn)評估相關(guān)工作展開調(diào)查研究。課題組利用半年多的時(shí)間，對我國信息安全風(fēng)險(xiǎn)評估現(xiàn)狀進(jìn)行了深入調(diào)查，掌握了第一手情況；對國內(nèi)外相關(guān)領(lǐng)域的理論進(jìn)行了學(xué)習(xí)、分析和研究，查閱了大量的相關(guān)資料，基本了解了此領(lǐng)域的國際前沿動(dòng)態(tài)。這些都為標(biāo)準(zhǔn)編制工作奠定了良好的基礎(chǔ)。6

統(tǒng)一的風(fēng)險(xiǎn)評估技術(shù)標(biāo)準(zhǔn)是規(guī)范開展信息安全風(fēng)險(xiǎn)評估工作的必備條件。落實(shí)中辦發(fā)27號(hào)文件、全面推進(jìn)我國的信息安全風(fēng)險(xiǎn)評估工作，首先就必須解決我國缺乏統(tǒng)一的風(fēng)險(xiǎn)評估技術(shù)標(biāo)準(zhǔn)的問題。為此，國信辦領(lǐng)導(dǎo)根據(jù)專家們的建議，決定著手開展信息安全風(fēng)險(xiǎn)評估國家標(biāo)準(zhǔn)的編制工作及相關(guān)實(shí)踐活動(dòng)。旨在通過這項(xiàng)工作更好地加強(qiáng)國家基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)的風(fēng)險(xiǎn)評估及管理工作，使其流程更加科學(xué)、統(tǒng)一、規(guī)范、有效。7一、標(biāo)準(zhǔn)的編制過程1、前期研究準(zhǔn)備2、標(biāo)準(zhǔn)草案編制3、試點(diǎn)實(shí)踐檢驗(yàn)4、專家評審論證8

根據(jù)國信辦的指示和信安標(biāo)委的具體要求，國家信息中心組織國家保密技術(shù)研究所、公安部三所、北京信息安全測評中心、上海市測評認(rèn)證中心、信息安全國家重點(diǎn)實(shí)驗(yàn)室以及BJCA、上海三零衛(wèi)士、聯(lián)想、天融信、啟明星辰、綠盟、科飛、凝瑞等國內(nèi)十幾家企事業(yè)單位于2004年3月29日正式啟動(dòng)標(biāo)準(zhǔn)草案的編制工作。此后，中國信息安全產(chǎn)品測評認(rèn)證中心、解放軍信息技術(shù)安全研究中心、航天部二院七O六所等單位也參與了標(biāo)準(zhǔn)的編制與起草。起草組在前期準(zhǔn)備工作的基礎(chǔ)上，經(jīng)過多次研究探討，確定了編制標(biāo)準(zhǔn)應(yīng)遵循的原則:

2、標(biāo)準(zhǔn)草案編制9

1、符合我國現(xiàn)行的信息安全有關(guān)法律法規(guī)的要求，認(rèn)真貫徹落實(shí)27號(hào)文件關(guān)于加強(qiáng)信息安全風(fēng)險(xiǎn)評估工作的精神；

2、立足于我國信息化建設(shè)實(shí)踐，積極借鑒國際先進(jìn)標(biāo)準(zhǔn)的技術(shù)，提出符合我國基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)工程建設(shè)需求的風(fēng)險(xiǎn)評估規(guī)范；

3、針對網(wǎng)絡(luò)與信息系統(tǒng)的全生命周期，制訂適應(yīng)不同階段特點(diǎn)和要求的風(fēng)險(xiǎn)評估實(shí)施方法；

4、積極吸收信息安全有關(guān)主管部門和單位在等級(jí)保護(hù)、保密檢查和產(chǎn)品測評等工作的經(jīng)驗(yàn)與成果；

5、標(biāo)準(zhǔn)文本體系結(jié)構(gòu)科學(xué)合理，表述清晰，具有可實(shí)現(xiàn)性和可操作性。

10在標(biāo)準(zhǔn)編編制的的過程程中，，標(biāo)準(zhǔn)準(zhǔn)起草草組多多次與與相關(guān)關(guān)主管管部門門所屬屬機(jī)構(gòu)構(gòu)的專專家代代表就就技術(shù)術(shù)標(biāo)準(zhǔn)準(zhǔn)有關(guān)關(guān)主體體內(nèi)容容進(jìn)行行會(huì)商商；向相關(guān)關(guān)單位位發(fā)放放標(biāo)準(zhǔn)準(zhǔn)文本本，通過電電子郵郵件等等形式式廣泛泛征求求業(yè)界界意見見；召召開標(biāo)標(biāo)準(zhǔn)討討論會(huì)會(huì)議三三十幾幾次，，共收收集100多條修修改意意見。。起草組組逐一一對修修改意意見進(jìn)進(jìn)行研研究，，在充充分吸吸納合合理成成份的的基礎(chǔ)礎(chǔ)上，，對《信息安安全風(fēng)風(fēng)險(xiǎn)評評估規(guī)規(guī)范》等標(biāo)準(zhǔn)準(zhǔn)進(jìn)行行了較較大幅幅度的的修改改，使使標(biāo)準(zhǔn)準(zhǔn)的體體系結(jié)結(jié)構(gòu)更更趨完完善、、合理理。11一、標(biāo)標(biāo)準(zhǔn)的的制定定過程程1、前期期研究究準(zhǔn)備備2、標(biāo)準(zhǔn)草草案編編制3、試點(diǎn)點(diǎn)實(shí)踐踐檢驗(yàn)驗(yàn)4、專家家評審審論證證123、試點(diǎn)點(diǎn)實(shí)踐踐檢驗(yàn)驗(yàn)2005年2月,根據(jù)國信辦辦[2005]4號(hào)和5號(hào)文件件，關(guān)關(guān)于在在銀行行、稅稅務(wù)、、電力力等部部門和和電子子政務(wù)務(wù)外網(wǎng)網(wǎng)，以以及北北京、、上海海、黑黑龍江江、云云南等等省市市，開開展信信息安安全風(fēng)風(fēng)險(xiǎn)評評估試試點(diǎn)工工作的的要求求，標(biāo)標(biāo)準(zhǔn)起起草組組配合合風(fēng)險(xiǎn)險(xiǎn)評估估試點(diǎn)點(diǎn)工作作專家家組開開展了了以下下工作作：--為各試試點(diǎn)單單位提提供標(biāo)標(biāo)準(zhǔn)草草案文文本和和相關(guān)關(guān)說明明；--在試點(diǎn)點(diǎn)準(zhǔn)備備階段段與各各試點(diǎn)點(diǎn)單位位的技技術(shù)骨骨干進(jìn)進(jìn)行標(biāo)標(biāo)準(zhǔn)技術(shù)術(shù)交流流；--根據(jù)標(biāo)標(biāo)準(zhǔn)草草案文文本涉涉及的的關(guān)鍵鍵技術(shù)術(shù)，起起草組組成員員選擇試試點(diǎn)環(huán)環(huán)節(jié)參參與實(shí)實(shí)際試試點(diǎn)；；--在試點(diǎn)點(diǎn)過程程中，，先后后幾次次召開開標(biāo)準(zhǔn)準(zhǔn)研討討會(huì)，，征求求各單位位對標(biāo)標(biāo)準(zhǔn)的的意見見與建建議。。13整個(gè)試點(diǎn)點(diǎn)工作作歷時(shí)時(shí)7個(gè)月，，各試點(diǎn)點(diǎn)單位位對標(biāo)標(biāo)準(zhǔn)草草案先先后提提出40多條補(bǔ)補(bǔ)充修修改意意見，，標(biāo)準(zhǔn)準(zhǔn)起草草組根據(jù)試試點(diǎn)結(jié)結(jié)果先后進(jìn)進(jìn)行了了三次次較大大規(guī)模模的修修改。。主要要內(nèi)容容包括括：--細(xì)化了了資產(chǎn)產(chǎn)的分分類方方法、、脆弱弱性的的識(shí)別別要求求，修修改并細(xì)細(xì)化了了風(fēng)險(xiǎn)險(xiǎn)計(jì)算算的方方法；；--對自評評估、、檢查查評估估不同同評估估形式式的內(nèi)內(nèi)容與與實(shí)施施的重點(diǎn)點(diǎn)進(jìn)行行了區(qū)區(qū)分；；--對風(fēng)險(xiǎn)險(xiǎn)評估估的工工具進(jìn)進(jìn)行了了梳理理和區(qū)區(qū)分，，形成成了現(xiàn)現(xiàn)在的幾幾種類類型；；--細(xì)化了了生命命周期期不同同階段段風(fēng)險(xiǎn)險(xiǎn)評估估的主主要內(nèi)內(nèi)容。。試點(diǎn)實(shí)實(shí)踐證證明，，試行行標(biāo)準(zhǔn)準(zhǔn)基本本滿足足各試試點(diǎn)單單位評評估工工作的的需求求。14一、標(biāo)標(biāo)準(zhǔn)的的制定定過程程1、前期期研究究準(zhǔn)備備2、標(biāo)準(zhǔn)草草案編編制3、試點(diǎn)點(diǎn)實(shí)踐踐檢驗(yàn)驗(yàn)4、專家家評審審論證證152005年9月16日，國國家信信息中中心在在北京京組織織召開開了由周周仲義義院士士主持持的《信息安安全風(fēng)風(fēng)險(xiǎn)評評估指指南（（征求求意見稿））》第一次次專家家評審審會(huì)。。4、專家家評審審論證證16第一次次專家家評審審會(huì)名名單姓名單位職務(wù)/職稱周仲義中國工程院院士熊四皓國務(wù)院信息辦處長王娜國家發(fā)改委高科技司處長姚世權(quán)中國標(biāo)準(zhǔn)化協(xié)會(huì)研究員賈穎禾全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)副秘書長/研究員崔書昆國家信息化專家咨詢委員會(huì)委員/研究員景乾元公安部十一局處長李建彬國稅總局信息中心副處長張宏偉黑龍江省信息產(chǎn)業(yè)廳處長姚麗旋上海市信息化管理委員會(huì)處長肖京華總參三部三局處長馮惠中國電子技術(shù)標(biāo)準(zhǔn)化研究所副主任/高工吳偉國家電網(wǎng)公司處長詹榜華北京市CA中心總經(jīng)理172005年10月27日，國國家信信息中中心在在北京京組織織召開開了信信息安安全風(fēng)風(fēng)險(xiǎn)評評估國國家標(biāo)標(biāo)準(zhǔn)征征求意意見稿稿的第第二次次專家家評審審會(huì)。。18第二次次專家家評審審會(huì)名名單姓名單位職務(wù)/職稱何義大全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)副主任趙戰(zhàn)生國家信息化咨詢委員會(huì)研究員曲成義國家信息化咨詢委員會(huì)研究員馮登國信息安全863項(xiàng)目專家組組長研究員陳曉樺中國信息安全產(chǎn)品測評認(rèn)證中心研究員崔書昆國家信息化咨詢委員會(huì)研究員景乾元公安部十一局處長肖京華解放軍信息安全測評中心處長賈穎禾全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)副秘書長李守鵬中國信息安全產(chǎn)品測評認(rèn)證中心副主任王同良中石油經(jīng)濟(jì)技術(shù)中心副主任江志強(qiáng)民航總局人事科技司處長謝小權(quán)航天科技集團(tuán)706所副所長呂仲濤中國工商銀行總行信息科技部總工19與會(huì)專家家認(rèn)為為標(biāo)準(zhǔn)準(zhǔn)起草草組做做了大大量卓卓有成成效的的工作作，標(biāo)標(biāo)準(zhǔn)的的結(jié)構(gòu)構(gòu)合理理、內(nèi)內(nèi)容完完備、、可操操作性性強(qiáng)，，并充充分考考慮與與信息息安全全等級(jí)級(jí)保護(hù)護(hù)相關(guān)關(guān)標(biāo)準(zhǔn)準(zhǔn)相銜銜接。。文本本的編編制符符合國國家標(biāo)標(biāo)準(zhǔn)的的要求求。同同時(shí)，，專家家們也也對完完善標(biāo)標(biāo)準(zhǔn)提提出了了進(jìn)一一步的的修改改意見見。202005年12月14日，由由安標(biāo)標(biāo)委第第五工工作組組主持持召開開了由由沈昌昌祥院院士為為專家家組組組長的的信息息安全全風(fēng)險(xiǎn)險(xiǎn)評估估國家家標(biāo)準(zhǔn)準(zhǔn)送審審稿的的專家家評審審會(huì)。。21專家評評審會(huì)會(huì)名單單姓名單位職務(wù)/職稱沈昌祥海軍計(jì)算技術(shù)研究所院士吉增瑞公安部信息安全標(biāo)委會(huì)委員研究員趙戰(zhàn)生國家信息化咨詢委員會(huì)研究員卿斯?jié)h中科院信息安全技術(shù)工程研究中心研究員杜虹國家保密技術(shù)研究所所長景乾元公安部十一局處長崔書昆國家信息化咨詢委員會(huì)研究員22與會(huì)專家家聽取取了起起草小小組的的編制制說明明及內(nèi)內(nèi)容介介紹，，審閱閱了相相關(guān)文文檔資資料，，經(jīng)質(zhì)質(zhì)詢和和討論論，一一致認(rèn)認(rèn)為：：一、送送審稿稿規(guī)范范了風(fēng)風(fēng)險(xiǎn)評評估的的評估估內(nèi)容容與范范圍、、基本本概念念，明明確了資產(chǎn)產(chǎn)、威威脅、、脆弱弱性和和安全全風(fēng)險(xiǎn)險(xiǎn)等關(guān)關(guān)鍵要要素及及其賦賦值原原則和和要求，，提出出了實(shí)實(shí)施流流程與與操作作步驟驟、評評估規(guī)規(guī)則與與基本本方法法，并并充分考考慮與與信息息安全全等級(jí)級(jí)保護(hù)護(hù)相關(guān)關(guān)標(biāo)準(zhǔn)準(zhǔn)相銜銜接。。二、送送審稿稿的操操作性性較強(qiáng)強(qiáng)，對對開展展風(fēng)險(xiǎn)險(xiǎn)評估估工作作具有有指導(dǎo)導(dǎo)作用用，并在國國務(wù)院院信息息辦組組織的的風(fēng)險(xiǎn)險(xiǎn)評估估試點(diǎn)點(diǎn)中得得到了了進(jìn)一一步的的實(shí)踐踐驗(yàn)證和和充實(shí)實(shí)完善善。三、文文本的的編制制符合合國家家標(biāo)準(zhǔn)準(zhǔn)GB1.1的要要求求。。專家家組組認(rèn)認(rèn)為為送送審審稿稿達(dá)達(dá)到到國國家家標(biāo)標(biāo)準(zhǔn)準(zhǔn)送送審審稿稿的的要要求求，，同同意意通通過過評評審。。建建議議起起草草組組根根據(jù)據(jù)專專家家意意見見盡盡快快修修改改完完善善后后申申報(bào)報(bào)。。232006年３３月月６６日日和和３３月月１１６６日日，，在在國國信信辦辦進(jìn)進(jìn)行行的的行業(yè)業(yè)和和省省市市的的風(fēng)風(fēng)險(xiǎn)險(xiǎn)評評估估政政策策文文件件的的兩兩次次宣宣貫貫會(huì)會(huì)上上，，信信息息安安全全風(fēng)險(xiǎn)險(xiǎn)評評估估征征求求意意見見稿稿以以國國信信辦辦文文件件的的形形式式下下發(fā)發(fā)，，為為各各行行業(yè)業(yè)和和省市市開開展展風(fēng)風(fēng)險(xiǎn)險(xiǎn)評評估估提提供供技技術(shù)術(shù)依依據(jù)據(jù)。。242006年4月18日，，全全國國信信息息安安全全標(biāo)標(biāo)準(zhǔn)準(zhǔn)化化技技術(shù)術(shù)委委員員（安安標(biāo)標(biāo)委委））會(huì)會(huì)第第五五工工作作組組（（WG5）在在北北京京召召開開全全體體工工作作組組成成員員標(biāo)準(zhǔn)準(zhǔn)投投票票會(huì)會(huì)議議，，對對信信息息安安全全風(fēng)風(fēng)險(xiǎn)險(xiǎn)評評估估國國家家標(biāo)標(biāo)準(zhǔn)準(zhǔn)送送審審稿稿進(jìn)進(jìn)行行工工作組組全全體體成成員員投投票票表表決決。。與與會(huì)會(huì)的的三三十十幾幾位位專專家家聽聽取取了了標(biāo)標(biāo)準(zhǔn)準(zhǔn)起起草組組對對《指南南》的編編制制過過程程以以及及主主要要內(nèi)內(nèi)容容的的介介紹紹，，經(jīng)經(jīng)投投票票一一致通通過過了了標(biāo)標(biāo)準(zhǔn)準(zhǔn)的的評評審審。。252006年6月19日，，全全國國信信息息安安全全標(biāo)標(biāo)準(zhǔn)準(zhǔn)化化技技術(shù)術(shù)委委員員會(huì)會(huì)秘秘書書處處在在北北京京組組織織召召開開了了信信息息安安全全風(fēng)風(fēng)險(xiǎn)險(xiǎn)評評估估標(biāo)標(biāo)準(zhǔn)準(zhǔn)送送審審稿稿的的專專家家審審查查會(huì)會(huì)，，與與會(huì)會(huì)專專家家經(jīng)經(jīng)質(zhì)質(zhì)詢詢和和討討論論，，將將標(biāo)標(biāo)準(zhǔn)準(zhǔn)正正式式命命名名為為《信息安安全技技術(shù)信信息安安全風(fēng)風(fēng)險(xiǎn)評評估規(guī)規(guī)范》，認(rèn)為該標(biāo)標(biāo)準(zhǔn)達(dá)到國國家標(biāo)準(zhǔn)送送審稿的要要求，同意意通過評審審。會(huì)后，國家家信息中心心先后與各各起草單位位和有關(guān)專專家就標(biāo)準(zhǔn)準(zhǔn)規(guī)范報(bào)批批稿的修改改進(jìn)行了進(jìn)進(jìn)一步的研研討，并逐逐一落實(shí)了了專家提出出的意見。。262006年7月19日，全國國信息安全全標(biāo)準(zhǔn)化委委員會(huì)主任任辦公會(huì)上上討論通過過了《信息安全技技術(shù)信信息安全風(fēng)風(fēng)險(xiǎn)評估規(guī)規(guī)范》(報(bào)批稿),目前已進(jìn)入入報(bào)批程序序。27主要內(nèi)容一、標(biāo)準(zhǔn)的的編制過程程二、標(biāo)準(zhǔn)的的主要內(nèi)容容三、下一步步工作的幾幾點(diǎn)思考28二、標(biāo)準(zhǔn)的的主要內(nèi)容容1、什么是風(fēng)風(fēng)險(xiǎn)評估2、為什么要要做風(fēng)險(xiǎn)評評估3、風(fēng)險(xiǎn)評估估怎么做29二、標(biāo)準(zhǔn)的的主要內(nèi)容容1、什么是風(fēng)風(fēng)險(xiǎn)評估2、為什么要要做風(fēng)險(xiǎn)評評估3、風(fēng)險(xiǎn)評估估怎么做301、什么是風(fēng)風(fēng)險(xiǎn)評估信息安全風(fēng)風(fēng)險(xiǎn)人為或自然然的威脅利利用信息系系統(tǒng)及其管管理體系中中存在的脆脆弱性導(dǎo)致致安全事件件的發(fā)生及及其對組織織造成的影影響。信息安全風(fēng)風(fēng)險(xiǎn)評估依據(jù)有關(guān)信信息安全技技術(shù)與管理理標(biāo)準(zhǔn)，對對信息系統(tǒng)統(tǒng)及由其處處理、傳輸輸和存儲(chǔ)的的信息的保保密性、完完整性和可可用性等安安全屬性進(jìn)進(jìn)行評價(jià)的的過程。它它要評估資資產(chǎn)面臨的的威脅以及及威脅利用用脆弱性導(dǎo)導(dǎo)致安全事事件的可能能性，并結(jié)結(jié)合安全事事件所涉及及的資產(chǎn)價(jià)價(jià)值來判斷斷安全事件件一旦發(fā)生生對組織造造成的影響響。31風(fēng)險(xiǎn)評估要要素關(guān)系圖圖圖中方框部部分的內(nèi)容容為風(fēng)險(xiǎn)評評估的基本本要素;橢圓部分的的內(nèi)容是與與這些要素素相關(guān)的屬屬性。風(fēng)險(xiǎn)評估圍圍繞著基本本要素展開開，同時(shí)需需要充分考考慮與基本本要素相關(guān)關(guān)的各類屬屬性。（1）業(yè)務(wù)戰(zhàn)略略的實(shí)現(xiàn)對對資產(chǎn)具有有依賴性，，依賴程度度越高，要要求其風(fēng)險(xiǎn)險(xiǎn)越??；（2）資產(chǎn)是有有價(jià)值的，，組織的業(yè)業(yè)務(wù)戰(zhàn)略對對資產(chǎn)的依依賴程度越越高，資產(chǎn)產(chǎn)價(jià)值就越越大；（3）風(fēng)險(xiǎn)是由由威脅引發(fā)發(fā)的，資產(chǎn)產(chǎn)面臨的威威脅越多則則風(fēng)險(xiǎn)越大大，并可能能演變成安安全事件；；（4）資產(chǎn)的脆脆弱性可以以暴露資產(chǎn)產(chǎn)的價(jià)值，，資產(chǎn)具有有的弱點(diǎn)越越多則風(fēng)險(xiǎn)險(xiǎn)越大；（5）脆弱性是是未被滿足足的安全需需求，威脅脅利用脆弱弱性危害資資產(chǎn)；（6）風(fēng)險(xiǎn)的存存在及對風(fēng)風(fēng)險(xiǎn)的認(rèn)識(shí)識(shí)導(dǎo)出安全全需求；（7）安全需求求可通過安安全措施得得以滿足，，需要結(jié)合合資產(chǎn)價(jià)值值考慮實(shí)施施成本；（8）安全措施施可抵御威威脅，降低低風(fēng)險(xiǎn)；（9）殘余風(fēng)險(xiǎn)險(xiǎn)是未被安安全措施控控制的風(fēng)險(xiǎn)險(xiǎn)。有些是是安全措施施不當(dāng)或無無效,需要加強(qiáng)才才可控制的的風(fēng)險(xiǎn)；而而有些則是是在綜合考考慮了安全全成本與效效益后未去去控制的風(fēng)風(fēng)險(xiǎn)；（10）殘余風(fēng)險(xiǎn)險(xiǎn)應(yīng)受到密密切監(jiān)視，，它可能會(huì)會(huì)在將來誘誘發(fā)新的安安全事件。。32二、標(biāo)準(zhǔn)的的主要內(nèi)容容1、什么是風(fēng)風(fēng)險(xiǎn)評估2、為什么要要做風(fēng)險(xiǎn)評評估3、風(fēng)險(xiǎn)評估估怎么做332、為什么要要做風(fēng)險(xiǎn)評評估安全源于風(fēng)險(xiǎn)險(xiǎn)。在信息化建建設(shè)中，建建設(shè)與運(yùn)營營的網(wǎng)絡(luò)與與信息系統(tǒng)統(tǒng)由于可能能存在的系系統(tǒng)設(shè)計(jì)缺缺陷、隱含含于軟硬件件設(shè)備的缺缺陷、系統(tǒng)統(tǒng)集成時(shí)帶帶來的缺陷陷，以及可可能存在的的某些管理理薄弱環(huán)節(jié)節(jié)，尤其當(dāng)當(dāng)網(wǎng)絡(luò)與信信息系統(tǒng)中中擁有極為為重要的信信息資產(chǎn)時(shí)時(shí)，都將使使得面臨復(fù)復(fù)雜環(huán)境的的網(wǎng)絡(luò)與信信息系統(tǒng)潛潛在著若干干不同程度度的安全風(fēng)風(fēng)險(xiǎn)。34風(fēng)險(xiǎn)評估可可以不斷斷深入地地發(fā)現(xiàn)系系統(tǒng)建設(shè)設(shè)中的安安全隱患患，采取或完完善更加加經(jīng)濟(jì)有有效的安安全保障障措施，，來消除安全全建設(shè)中中的盲目目樂觀或或盲目恐恐懼，提提出有針針對性的的從實(shí)際際出發(fā)的的解決方方法，提提高系統(tǒng)統(tǒng)安全的的科學(xué)管管理水平平，進(jìn)而而全面提提升網(wǎng)絡(luò)絡(luò)與信息息系統(tǒng)的的安全保保障能力力。35信息安全風(fēng)風(fēng)險(xiǎn)評估估，是從從風(fēng)險(xiǎn)管管理角度度，運(yùn)用用科學(xué)的的方法和和手段，，系統(tǒng)地地分析網(wǎng)網(wǎng)絡(luò)與信信息系統(tǒng)統(tǒng)所面臨臨的威脅脅及其存存在的脆脆弱性，，評估安安全事件件一旦發(fā)發(fā)生可能能造成的的危害程程度，提提出有針針對性的的抵御威威脅的防防護(hù)對策策和整改改措施。。并為防防范和化化解信息息安全風(fēng)風(fēng)險(xiǎn)，或或者將風(fēng)風(fēng)險(xiǎn)控制制在可接接受的水水平，從從而最大大限度地地保障網(wǎng)網(wǎng)絡(luò)和信信息安全全提供科科學(xué)依據(jù)據(jù)。（國信辦辦[2006]5號(hào)文件））36二、標(biāo)準(zhǔn)準(zhǔn)的主要要內(nèi)容1、什么是是風(fēng)險(xiǎn)評評估2、為什么要做做風(fēng)險(xiǎn)評估3、風(fēng)險(xiǎn)評估怎怎么做373、風(fēng)險(xiǎn)評估怎怎么做-風(fēng)險(xiǎn)評估實(shí)施施流程-風(fēng)險(xiǎn)評估的形形式-信息系統(tǒng)生命命周期各階段段的風(fēng)險(xiǎn)評估估383、風(fēng)險(xiǎn)評估怎怎么做-風(fēng)險(xiǎn)評估實(shí)施施流程-風(fēng)險(xiǎn)評估的形形式-信息系統(tǒng)生命命周期各階段段的風(fēng)險(xiǎn)評估估39風(fēng)險(xiǎn)評估的實(shí)實(shí)施流程先期準(zhǔn)備要素分析風(fēng)險(xiǎn)分析文檔記錄風(fēng)險(xiǎn)評估實(shí)施施流程圖40實(shí)施步驟(1)風(fēng)險(xiǎn)評估的準(zhǔn)準(zhǔn)備(2)資產(chǎn)識(shí)別(3)威脅識(shí)別(4)脆弱性識(shí)別(5)已有安全措施施的確認(rèn)(6)風(fēng)險(xiǎn)分析(7)風(fēng)險(xiǎn)評估文件件記錄413、風(fēng)險(xiǎn)評估怎怎么做-風(fēng)險(xiǎn)評估實(shí)施施流程-風(fēng)險(xiǎn)評估的形形式-信息系統(tǒng)生命命周期各階段段的風(fēng)險(xiǎn)評估估42信息安全風(fēng)險(xiǎn)評評估分為自評評估、檢查評評估兩種形式式。自評估為為主，自評估估和檢查評估估相互結(jié)合、、互為補(bǔ)充。。自評估和檢檢查評估可依依托自身技術(shù)術(shù)力量進(jìn)行，，也可委托第第三方機(jī)構(gòu)提提供技術(shù)支持持。風(fēng)險(xiǎn)評估的形形式43自評估自評估可由發(fā)起起方實(shí)施或委委托風(fēng)險(xiǎn)評估估服務(wù)技術(shù)支支持方實(shí)施。。由發(fā)起方實(shí)實(shí)施的評估可可以降低實(shí)施施的費(fèi)用、提提高信息系統(tǒng)統(tǒng)相關(guān)人員的的安全意識(shí)，，但可能由于于缺乏風(fēng)險(xiǎn)評評估的專業(yè)技技能，其結(jié)果果不夠深入準(zhǔn)準(zhǔn)確；同時(shí)，，受到組織內(nèi)內(nèi)部各種因素素的影響，其其評估結(jié)果的的客觀性易受受影響。委托托風(fēng)險(xiǎn)評估服服務(wù)技術(shù)支持持方實(shí)施的評評估，過程比比較規(guī)范、評評估結(jié)果的客客觀性比較好好，可信程度度較高；但由由于受到行業(yè)業(yè)知識(shí)技能及及業(yè)務(wù)了解的的限制，對被被評估系統(tǒng)的的了解，尤其其是在業(yè)務(wù)方方面的特殊要要求存在一定定的局限。但但由于引入第第三方本身就就是一個(gè)風(fēng)險(xiǎn)險(xiǎn)因素，因此此，對其背景景與資質(zhì)、評評估過程與結(jié)結(jié)果的保密要要求等方面應(yīng)應(yīng)進(jìn)行控制。。44自評估中的““自”不僅僅僅是指自已做做評估的“自自”，也不僅僅僅是指自愿愿做評估的““自”。由于于“誰主管誰誰負(fù)責(zé)”，出出于對自身信信息系統(tǒng)的安安全責(zé)任考慮慮，信息系統(tǒng)統(tǒng)主管者應(yīng)定定期對系統(tǒng)進(jìn)進(jìn)行風(fēng)險(xiǎn)評估估，具體實(shí)施施時(shí)可以依托托自身的評估估隊(duì)伍進(jìn)行，，也可委托有有資質(zhì)的第三三方提供評估估服務(wù)技術(shù)支支持，但無論論是哪一種形形式，責(zé)任都都是由信息系系統(tǒng)主管者自自已擔(dān)負(fù)的。。因此，自評評估中的“自自”的含義是是自已負(fù)責(zé)的的“自”。包包括自已負(fù)責(zé)責(zé)系統(tǒng)的安全全、自己發(fā)起起對信息系統(tǒng)統(tǒng)的風(fēng)險(xiǎn)評估估以及自己負(fù)負(fù)責(zé)為保障系系統(tǒng)安全所做做的風(fēng)險(xiǎn)評估估的安全等。。45此外，為保證證風(fēng)險(xiǎn)評估的的實(shí)施，與系系統(tǒng)相連的相相關(guān)方也應(yīng)配配合，以防止止給其他方的的使用帶來困困難或引入新新的風(fēng)險(xiǎn)也往往往較多，因因此，要對實(shí)實(shí)施檢查評估估機(jī)構(gòu)的資質(zhì)質(zhì)進(jìn)行嚴(yán)格管管理。46檢查評估檢查評估是指信信息系統(tǒng)上級(jí)級(jí)管理部門組組織的或國家家有關(guān)職能部部門依法開展展的風(fēng)險(xiǎn)評估估。檢查評估可依依據(jù)本標(biāo)準(zhǔn)的的要求，實(shí)施施完整的風(fēng)險(xiǎn)險(xiǎn)評估過程。。47一是風(fēng)風(fēng)險(xiǎn)評評估究究其根根本是是評估估系統(tǒng)統(tǒng)的敏敏感信信息，，涉及及大量量的安安全問問題，，完全全委托托第三三方將將帶來來評估估本身身的風(fēng)風(fēng)險(xiǎn)；；二是是進(jìn)進(jìn)行行風(fēng)風(fēng)險(xiǎn)險(xiǎn)評評估估要要求求評評估估人人員員既既要要了了解解評評估估本本身身的的一一套套方方法法與與流流程程，，還還要要了了解解被被評評估估系系統(tǒng)統(tǒng)的的業(yè)業(yè)務(wù)務(wù)特特性性，，這這對對于于完完全全從從事事評評估估的的第第三三方方來來講講，，在在短短時(shí)時(shí)間間內(nèi)內(nèi)了了解解每每個(gè)個(gè)系系統(tǒng)統(tǒng)的的業(yè)業(yè)務(wù)務(wù)特特性性難難度度是是比比較較大大的的；；三是是風(fēng)風(fēng)險(xiǎn)險(xiǎn)評評估估工工作作流流程程中中常常常常要要求求被被評評估估方方向向評評估估方方提提供供各各種種信信息息，，需需要要之之間間的的良良好好互互動(dòng)動(dòng)以以及及多多方方會(huì)會(huì)商商，，單單靠靠評評估估方方第第三三方方是是無無法法完完成成系系統(tǒng)統(tǒng)評評估估的的。?；谟谝砸陨仙显蛞?，，委委托托評評估估技技術(shù)術(shù)支支持持比比委委托托評評估估的的提提法法更更為為切切合合實(shí)實(shí)際際。。并并且且，，提提供供委委托托評評估估技技術(shù)術(shù)支支持持的的機(jī)機(jī)構(gòu)構(gòu)應(yīng)應(yīng)具具有有相相應(yīng)應(yīng)的的資資質(zhì)質(zhì)。。483、風(fēng)風(fēng)險(xiǎn)險(xiǎn)評評估估怎怎么么做做-風(fēng)險(xiǎn)險(xiǎn)評評估估實(shí)實(shí)施施流流程程-風(fēng)險(xiǎn)險(xiǎn)評評估估的的形形式式-信息息系系統(tǒng)統(tǒng)生生命命周周期期各各階階段段的的風(fēng)風(fēng)險(xiǎn)險(xiǎn)評評估估49國信辦辦[2006]5號(hào)文文件件指指出出：：信息息安安全全風(fēng)險(xiǎn)險(xiǎn)評評估估應(yīng)應(yīng)貫貫穿穿于于網(wǎng)網(wǎng)絡(luò)絡(luò)與與信信息息系系統(tǒng)統(tǒng)建建設(shè)設(shè)運(yùn)運(yùn)行行的的全全過過程程。。在在網(wǎng)網(wǎng)絡(luò)絡(luò)與與信信息息系系統(tǒng)統(tǒng)的的設(shè)設(shè)計(jì)計(jì)、、驗(yàn)驗(yàn)收收及及運(yùn)運(yùn)行行維維護(hù)護(hù)階階段段均均應(yīng)應(yīng)當(dāng)當(dāng)進(jìn)進(jìn)行行信信息息安安全全風(fēng)風(fēng)險(xiǎn)險(xiǎn)評評估估。。如如在在網(wǎng)網(wǎng)絡(luò)絡(luò)與與信信息息系系統(tǒng)統(tǒng)規(guī)規(guī)劃劃設(shè)設(shè)計(jì)計(jì)階階段段，，應(yīng)應(yīng)通通過過信信息息安安全全風(fēng)風(fēng)險(xiǎn)險(xiǎn)評評估估進(jìn)進(jìn)一一步步明明確確安安全全需需求求和和安安全全目目標(biāo)標(biāo)。。50信息系系統(tǒng)生生命周周期各各階段段的風(fēng)風(fēng)險(xiǎn)評評估規(guī)劃階階段的的風(fēng)險(xiǎn)險(xiǎn)評估估設(shè)計(jì)階階段的的風(fēng)險(xiǎn)險(xiǎn)評估估實(shí)施階階段的的風(fēng)險(xiǎn)險(xiǎn)評估估運(yùn)行維維護(hù)階階段的的風(fēng)險(xiǎn)險(xiǎn)評估估廢棄階階段的的風(fēng)險(xiǎn)險(xiǎn)評估估51規(guī)劃階階段的的風(fēng)險(xiǎn)險(xiǎn)評估估規(guī)劃階段段風(fēng)險(xiǎn)險(xiǎn)評估估的目目的是是識(shí)別別系統(tǒng)統(tǒng)的業(yè)業(yè)務(wù)戰(zhàn)戰(zhàn)略，，以支支撐系系統(tǒng)安安全需需求及及安全全戰(zhàn)略略等。。規(guī)劃劃階段段的評評估應(yīng)應(yīng)能夠夠描述述信息息系統(tǒng)統(tǒng)建成成后對對現(xiàn)有有業(yè)務(wù)務(wù)模式式的作作用，，包括括技術(shù)術(shù)、管管理等等方面面，并并根據(jù)據(jù)其作作用確確定系系統(tǒng)建建設(shè)應(yīng)應(yīng)達(dá)到到的安安全目目標(biāo)。。52設(shè)計(jì)階階段的的風(fēng)險(xiǎn)險(xiǎn)評估估設(shè)計(jì)階段段的風(fēng)風(fēng)險(xiǎn)評評估需需要根根據(jù)規(guī)規(guī)劃階階段所所明確確的系系統(tǒng)運(yùn)運(yùn)行環(huán)環(huán)境、、資產(chǎn)產(chǎn)重要要性，，提出出安全全功能能需求求。設(shè)設(shè)計(jì)階階段的的風(fēng)險(xiǎn)險(xiǎn)評估估結(jié)果果應(yīng)對對設(shè)計(jì)計(jì)方案案中所所提供供的安安全功功能符符合性性進(jìn)行行判斷斷，作作為采采購過過程風(fēng)風(fēng)險(xiǎn)控控制的的依據(jù)據(jù)。53實(shí)施階階段的的風(fēng)險(xiǎn)險(xiǎn)評估估實(shí)施階段段風(fēng)險(xiǎn)險(xiǎn)評估估的目目的是是根據(jù)據(jù)系統(tǒng)統(tǒng)安全全需求求和運(yùn)運(yùn)行環(huán)環(huán)境對對系統(tǒng)統(tǒng)開發(fā)發(fā)、實(shí)實(shí)施過過程進(jìn)進(jìn)行風(fēng)風(fēng)險(xiǎn)識(shí)識(shí)別，，并對對系統(tǒng)統(tǒng)建成成后的的安全全功能能進(jìn)行行驗(yàn)證證。根根據(jù)設(shè)設(shè)計(jì)階階段分分析的的威脅脅和制制定的的安全全措施施，在在實(shí)施施及驗(yàn)驗(yàn)收時(shí)時(shí)進(jìn)行行質(zhì)量量控制制?；谠O(shè)設(shè)計(jì)階階段的的資產(chǎn)產(chǎn)列表表、安安全措措施，，實(shí)施施階段段應(yīng)對對規(guī)劃劃階段段的安安全威威脅進(jìn)進(jìn)行進(jìn)進(jìn)一步步細(xì)分分，同同時(shí)評評估安安全措措施的的實(shí)現(xiàn)現(xiàn)程度度，從從而確確定安安全措措施能能否抵抵御現(xiàn)現(xiàn)有威威脅、、脆弱弱性的的影響響。實(shí)實(shí)施階階段風(fēng)風(fēng)險(xiǎn)評評估主主要對對系統(tǒng)統(tǒng)的開開發(fā)與與技術(shù)術(shù)/產(chǎn)品獲獲取、、系統(tǒng)統(tǒng)交付付實(shí)施施兩個(gè)個(gè)過程程進(jìn)行行評估估。54運(yùn)行維維護(hù)階階段的的風(fēng)險(xiǎn)險(xiǎn)評估估運(yùn)行維維護(hù)階階段風(fēng)風(fēng)險(xiǎn)評評估的的目的的是了了解和和控制制運(yùn)行行過程程中的的安全全風(fēng)險(xiǎn)險(xiǎn)，是是一種種較為為全面面的風(fēng)風(fēng)險(xiǎn)評評估。。評估估內(nèi)容容包括括對真真實(shí)運(yùn)運(yùn)行的的信息息系統(tǒng)統(tǒng)、資資產(chǎn)、、威脅脅、脆脆弱性性等各各方面面。資產(chǎn)評評估：：在真真實(shí)環(huán)環(huán)境下下較為為細(xì)致致的評評估。。包括括實(shí)施施階段段采購購的軟軟硬件件資產(chǎn)產(chǎn)、系系統(tǒng)運(yùn)運(yùn)行過過程中中生成成的信信息資資產(chǎn)、、相關(guān)關(guān)的人人員與與服務(wù)務(wù)等，，本階階段資資產(chǎn)識(shí)識(shí)別是是前期期資產(chǎn)產(chǎn)識(shí)別別的補(bǔ)補(bǔ)充與與增加加；威脅評評估：：應(yīng)全全面地地分析析威脅脅的可可能性性和影影響程程度。。對非非故意意威脅脅導(dǎo)致致安全全事件件的評評估可可以參參照安安全事事件的的發(fā)生生頻率率；對對故意意威脅脅導(dǎo)致致安全全事件件的評評估主主要就就威脅脅的各各個(gè)影影響因因素做做出專專業(yè)判判斷；；脆弱性評估：：是全面的脆脆弱性評估。。包括運(yùn)行環(huán)環(huán)境中物理、、網(wǎng)絡(luò)、系統(tǒng)統(tǒng)、應(yīng)用、安安全保障設(shè)備備、管理等各各方面的脆弱弱性。技術(shù)脆脆弱性評估可