信息安全風險評估國家標準編制

1信息安全風險評估國家標準編制及內(nèi)容介紹2主要內(nèi)容一、標準的編制過程二、標準的主要內(nèi)容三、下一步工作的幾點思考3主要內(nèi)容一、標準的編制過程二、標準的主要內(nèi)容三、下一步工作的幾點思考4一、標準的編制過程1、前期研究準備2、標準草案編制3、試點實踐檢驗4、專家評審論證5一、標準的編制過程1、前期研究準備2、標準草案編制3、試點實踐檢驗4、專家評審論證6

1、前期研究準備

2003年7月,中辦發(fā)[2003]27號文件對開展信息安全風險評估工作提出了明確的要求。國信辦委托國家信息中心牽頭，成立了國家信息安全風險評估課題組，對信息安全風險評估相關(guān)工作展開調(diào)查研究。課題組利用半年多的時間，對我國信息安全風險評估現(xiàn)狀進行了深入調(diào)查，掌握了第一手情況；對國內(nèi)外相關(guān)領(lǐng)域的理論進行了學習、分析和研究，查閱了大量的相關(guān)資料，基本了解了此領(lǐng)域的國際前沿動態(tài)。這些都為標準編制工作奠定了良好的基礎(chǔ)。7

統(tǒng)一的風險評估技術(shù)標準是規(guī)范開展信息安全風險評估工作的必備條件。落實中辦發(fā)27號文件、全面推進我國的信息安全風險評估工作，首先就必須解決我國缺乏統(tǒng)一的風險評估技術(shù)標準的問題。為此，國信辦領(lǐng)導根據(jù)專家們的建議，決定著手開展信息安全風險評估國家標準的編制工作及相關(guān)實踐活動。旨在通過這項工作更好地加強國家基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)的風險評估及管理工作，使其流程更加科學、統(tǒng)一、規(guī)范、有效。8一、標準的編制過程1、前期研究準備2、標準草案編制3、試點實踐檢驗4、專家評審論證9

根據(jù)國信辦的指示和信安標委的具體要求，國家信息中心組織國家保密技術(shù)研究所、公安部三所、北京信息安全測評中心、上海市測評認證中心、信息安全國家重點實驗室以及BJCA、上海三零衛(wèi)士、聯(lián)想、天融信、啟明星辰、綠盟、科飛、凝瑞等國內(nèi)十幾家企事業(yè)單位于2004年3月29日正式啟動標準草案的編制工作。此后，中國信息安全產(chǎn)品測評認證中心、解放軍信息技術(shù)安全研究中心、航天部二院七O六所等單位也參與了標準的編制與起草。起草組在前期準備工作的基礎(chǔ)上，經(jīng)過多次研究探討，確定了編制標準應(yīng)遵循的原則:

2、標準草案編制10

1、符合我國現(xiàn)行的信息安全有關(guān)法律法規(guī)的要求，認真貫徹落實27號文件關(guān)于加強信息安全風險評估工作的精神；

2、立足于我國信息化建設(shè)實踐，積極借鑒國際先進標準的技術(shù)，提出符合我國基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)工程建設(shè)需求的風險評估規(guī)范；

3、針對網(wǎng)絡(luò)與信息系統(tǒng)的全生命周期，制訂適應(yīng)不同階段特點和要求的風險評估實施方法；

4、積極吸收信息安全有關(guān)主管部門和單位在等級保護、保密檢查和產(chǎn)品測評等工作的經(jīng)驗與成果；

5、標準文本體系結(jié)構(gòu)科學合理，表述清晰，具有可實現(xiàn)性和可操作性。

11在標準編制的過過程中，標準準起草組多次次與相關(guān)主管管部門所屬機機構(gòu)的專家代代表就技術(shù)標標準有關(guān)主體體內(nèi)容進行會會商；向相關(guān)單位發(fā)發(fā)放標準文本本，通過電子郵件件等形式廣泛泛征求業(yè)界意意見；召開標標準討論會議議三十幾次，，共收集100多條修改意見見。起草組逐一對對修改意見進進行研究，在在充分吸納合合理成份的基基礎(chǔ)上，對《信息安全風險險評估規(guī)范》等標準進行了了較大幅度的的修改，使標標準的體系結(jié)結(jié)構(gòu)更趨完善善、合理。12一、標準的制制定過程1、前期研究準準備2、標準草案編制制3、試點實踐檢檢驗4、專家評審論論證133、試點實踐檢檢驗2005年2月,根據(jù)國信辦[2005]4號和5號文件，關(guān)于于在銀行、稅稅務(wù)、電力等等部門和電子子政務(wù)外網(wǎng)，，以及北京、、上海、黑龍龍江、云南等等省市，開展展信息安全風風險評估試點點工作的要求求，標準起草草組配合風險險評估試點工工作專家組開開展了以下工工作：--為各試點單單位提供標標準草案文文本和相關(guān)關(guān)說明；--在試點準備備階段與各各試點單位位的技術(shù)骨骨干進行標標準技術(shù)交流流；--根據(jù)標準草草案文本涉涉及的關(guān)鍵鍵技術(shù)，起起草組成員員選擇試點環(huán)環(huán)節(jié)參與實實際試點；；--在試點過程程中，先后后幾次召開開標準研討討會，征求求各單位對標標準的意見見與建議。。14整個試點工作作歷時7個月，各試點單位位對標準草草案先后提提出40多條補充修修改意見，，標準起草草組根據(jù)試點結(jié)結(jié)果先后進行了了三次較大大規(guī)模的修修改。主要要內(nèi)容包括括：--細化了資產(chǎn)產(chǎn)的分類方方法、脆弱弱性的識別別要求，修修改并細化了了風險計算算的方法；；--對自評估、、檢查評估估不同評估估形式的內(nèi)內(nèi)容與實施施的重點進行行了區(qū)分；；--對風險評估估的工具進進行了梳理理和區(qū)分，，形成了現(xiàn)現(xiàn)在的幾種類類型；--細化了生命命周期不同同階段風險險評估的主主要內(nèi)容。。試點實踐證證明，試行行標準基本本滿足各試試點單位評評估工作的的需求。15一、標準的的制定過程程1、前期研究究準備2、標準草案編編制3、試點實踐踐檢驗4、專家評審審論證162005年9月16日，國家信信息中心在在北京組織織召開了由周仲義義院士主持持的《信息安全風風險評估指指南（征求求意見稿）》第一次專家家評審會。。4、專家評審審論證17第一次專家家評審會名名單姓名單位職務(wù)/職稱周仲義中國工程院院士熊四皓國務(wù)院信息辦處長王娜國家發(fā)改委高科技司處長姚世權(quán)中國標準化協(xié)會研究員賈穎禾全國信息安全標準化技術(shù)委員會副秘書長/研究員崔書昆國家信息化專家咨詢委員會委員/研究員景乾元公安部十一局處長李建彬國稅總局信息中心副處長張宏偉黑龍江省信息產(chǎn)業(yè)廳處長姚麗旋上海市信息化管理委員會處長肖京華總參三部三局處長馮惠中國電子技術(shù)標準化研究所副主任/高工吳偉國家電網(wǎng)公司處長詹榜華北京市CA中心總經(jīng)理182005年10月27日，國家信信息中心在在北京組織織召開了信信息安全風風險評估國國家標準征征求意見稿稿的第二次次專家評審審會。19第二次專家家評審會名名單姓名單位職務(wù)/職稱何義大全國信息安全標準化技術(shù)委員會副主任趙戰(zhàn)生國家信息化咨詢委員會研究員曲成義國家信息化咨詢委員會研究員馮登國信息安全863項目專家組組長研究員陳曉樺中國信息安全產(chǎn)品測評認證中心研究員崔書昆國家信息化咨詢委員會研究員景乾元公安部十一局處長肖京華解放軍信息安全測評中心處長賈穎禾全國信息安全標準化技術(shù)委員會副秘書長李守鵬中國信息安全產(chǎn)品測評認證中心副主任王同良中石油經(jīng)濟技術(shù)中心副主任江志強民航總局人事科技司處長謝小權(quán)航天科技集團706所副所長呂仲濤中國工商銀行總行信息科技部總工20與會專家認為為標準起草草組做了大大量卓有成成效的工作作，標準的的結(jié)構(gòu)合理理、內(nèi)容完完備、可操操作性強，，并充分考考慮與信息息安全等級級保護相關(guān)關(guān)標準相銜銜接。文本本的編制符符合國家標標準的要求求。同時，，專家們也也對完善標標準提出了了進一步的的修改意見見。212005年12月14日，由安標標委第五工工作組主持持召開了由由沈昌祥院院士為專家家組組長的的信息安全全風險評估估國家標準準送審稿的的專家評審審會。22專家評審會會名單姓名單位職務(wù)/職稱沈昌祥海軍計算技術(shù)研究所院士吉增瑞公安部信息安全標委會委員研究員趙戰(zhàn)生國家信息化咨詢委員會研究員卿斯?jié)h中科院信息安全技術(shù)工程研究中心研究員杜虹國家保密技術(shù)研究所所長景乾元公安部十一局處長崔書昆國家信息化咨詢委員會研究員23與會專家聽取取了起草小小組的編制制說明及內(nèi)內(nèi)容介紹，，審閱了相相關(guān)文檔資資料，經(jīng)質(zhì)質(zhì)詢和討論論，一致認認為：一、送審稿稿規(guī)范了風風險評估的的評估內(nèi)容容與范圍、、基本概念念，明確了資產(chǎn)、威威脅、脆弱弱性和安全全風險等關(guān)關(guān)鍵要素及及其賦值原原則和要求，提出出了實施流流程與操作作步驟、評評估規(guī)則與與基本方法法，并充分考慮與與信息安全全等級保護護相關(guān)標準準相銜接。。二、送審稿稿的操作性性較強，對對開展風險險評估工作作具有指導導作用，并在國務(wù)院院信息辦組組織的風險險評估試點點中得到了了進一步的的實踐驗證和充實實完善。三、文本的的編制符合合國家標準準GB1.1的要求。專家組認為為送審稿達達到國家標標準送審稿稿的要求，，同意通過過評審。建議起起草組根據(jù)據(jù)專家意見見盡快修改改完善后申申報。242006年３月６日日和３月１１６日，在在國信辦進進行的行業(yè)和省市市的風險評評估政策文文件的兩次次宣貫會上上，信息安安全風險評估征征求意見稿稿以國信辦辦文件的形形式下發(fā)，，為各行業(yè)業(yè)和省市開展風風險評估提提供技術(shù)依依據(jù)。252006年4月18日，全國信信息安全標標準化技術(shù)術(shù)委員（安標委））會第五工工作組（WG5）在北京召召開全體工工作組成員員標準投票會會議，對信信息安全風風險評估國國家標準送送審稿進行行工作組全體成成員投票表表決。與會會的三十幾幾位專家聽聽取了標準準起草組對《指南》的編制過程程以及主要要內(nèi)容的介介紹，經(jīng)投投票一致通過了標標準的評審審。262006年6月19日，全國信信息安全標標準化技術(shù)術(shù)委員會秘秘書處在北北京組織召召開了信息息安全風險險評估標準準送審稿的的專家審查查會，與會會專家經(jīng)質(zhì)質(zhì)詢和討論論，將標準準正式命名名為《信息安全技技術(shù)信信息安安全風險評評估規(guī)范》，認為該標標準達到國國家標準送送審稿的要要求，同意意通過評審審。會后，國家家信息中心心先后與各各起草單位位和有關(guān)專專家就標準準規(guī)范報批批稿的修改改進行了進進一步的研研討，并逐逐一落實了了專家提出出的意見。。272006年7月19日，全國國信息安全全標準化委委員會主任任辦公會上上討論通過過了《信息安全技技術(shù)信信息安全風風險評估規(guī)規(guī)范》(報批稿),目前已進入入報批程序序。28主要內(nèi)容一、標準的的編制過程程二、標準的的主要內(nèi)容容三、下一步步工作的幾幾點思考29二、標準的的主要內(nèi)容容1、什么是風風險評估2、為什么要要做風險評評估3、風險評估估怎么做30二、標準的的主要內(nèi)容容1、什么是風風險評估2、為什么要要做風險評評估3、風險評估估怎么做311、什么是風風險評估信息安全風風險人為或自然然的威脅利利用信息系系統(tǒng)及其管管理體系中中存在的脆脆弱性導致致安全事件件的發(fā)生及及其對組織織造成的影影響。信息安全風風險評估依據(jù)有關(guān)信信息安全技技術(shù)與管理理標準，對對信息系統(tǒng)統(tǒng)及由其處處理、傳輸輸和存儲的的信息的保保密性、完完整性和可可用性等安安全屬性進進行評價的的過程。它它要評估資資產(chǎn)面臨的的威脅以及及威脅利用用脆弱性導導致安全事事件的可能能性，并結(jié)結(jié)合安全事事件所涉及及的資產(chǎn)價價值來判斷斷安全事件件一旦發(fā)生生對組織造造成的影響響。32風險評估要要素關(guān)系圖圖圖中方框部部分的內(nèi)容容為風險評評估的基本本要素;橢圓部分的的內(nèi)容是與與這些要素素相關(guān)的屬屬性。風險評估圍圍繞著基本本要素展開開，同時需需要充分考考慮與基本本要素相關(guān)關(guān)的各類屬屬性。（1）業(yè)務(wù)戰(zhàn)略略的實現(xiàn)對對資產(chǎn)具有有依賴性，，依賴程度度越高，要要求其風險險越?。唬?）資產(chǎn)是有有價值的，，組織的業(yè)業(yè)務(wù)戰(zhàn)略對對資產(chǎn)的依依賴程度越越高，資產(chǎn)產(chǎn)價值就越越大；（3）風險是由由威脅引發(fā)發(fā)的，資產(chǎn)產(chǎn)面臨的威威脅越多則則風險越大大，并可能能演變成安安全事件；；（4）資產(chǎn)的脆脆弱性可以以暴露資產(chǎn)產(chǎn)的價值，，資產(chǎn)具有有的弱點越越多則風險險越大；（5）脆弱性是是未被滿足足的安全需需求，威脅脅利用脆弱弱性危害資資產(chǎn)；（6）風險的存存在及對風風險的認識識導出安全全需求；（7）安全需求求可通過安安全措施得得以滿足，，需要結(jié)合合資產(chǎn)價值值考慮實施施成本；（8）安全措施施可抵御威威脅，降低低風險；（9）殘余風險險是未被安安全措施控控制的風險險。有些是是安全措施施不當或無無效,需要加強才才可控制的的風險；而而有些則是是在綜合考考慮了安全全成本與效效益后未去去控制的風風險；（10）殘余風險險應(yīng)受到密密切監(jiān)視，，它可能會會在將來誘誘發(fā)新的安安全事件。。33二、標準的的主要內(nèi)容容1、什么是風風險評估2、為什么要要做風險評評估3、風險評估估怎么做342、為什么要要做風險評評估安全源于風險險。在信息化建建設(shè)中，建建設(shè)與運營營的網(wǎng)絡(luò)與與信息系統(tǒng)統(tǒng)由于可能能存在的系系統(tǒng)設(shè)計缺缺陷、隱含含于軟硬件件設(shè)備的缺缺陷、系統(tǒng)統(tǒng)集成時帶帶來的缺陷陷，以及可可能存在的的某些管理理薄弱環(huán)節(jié)節(jié)，尤其當當網(wǎng)絡(luò)與信信息系統(tǒng)中中擁有極為為重要的信信息資產(chǎn)時時，都將使使得面臨復復雜環(huán)境的的網(wǎng)絡(luò)與信信息系統(tǒng)潛潛在著若干干不同程度度的安全風風險。35風險評估可以以不斷深入入地發(fā)現(xiàn)系系統(tǒng)建設(shè)中中的安全隱隱患，采取或完善善更加經(jīng)濟濟有效的安安全保障措措施，來消除安全建建設(shè)中的盲盲目樂觀或或盲目恐懼懼，提出有有針對性的的從實際出出發(fā)的解決決方法，提提高系統(tǒng)安安全的科學學管理水平平，進而全全面提升網(wǎng)網(wǎng)絡(luò)與信息息系統(tǒng)的安安全保障能能力。36信息安全風險險評估，是是從風險管管理角度，，運用科學學的方法和和手段，系系統(tǒng)地分析析網(wǎng)絡(luò)與信信息系統(tǒng)所所面臨的威威脅及其存存在的脆弱弱性，評估估安全事件件一旦發(fā)生生可能造成成的危害程程度，提出出有針對性性的抵御威威脅的防護護對策和整整改措施。。并為防范范和化解信信息安全風風險，或者者將風險控控制在可接接受的水平平，從而最最大限度地地保障網(wǎng)絡(luò)絡(luò)和信息安安全提供科科學依據(jù)。。（國信辦[2006]5號文件）37二、標準的的主要內(nèi)容容1、什么是風風險評估2、為什么要要做風險評評估3、風險評估估怎么做383、風險評估估怎么做-風險評估實實施流程-風險評估的的形式-信息系統(tǒng)生生命周期各各階段的風風險評估393、風險評估估怎么做-風險評估實實施流程-風險評估的的形式-信息系統(tǒng)生生命周期各各階段的風風險評估40風險評估的的實施流程程先期準備要素分析風險分析文檔記錄風險評估實實施流程圖圖41實施步驟(1)風險評估的的準備(2)資產(chǎn)識別(3)威脅識別(4)脆弱性識別別(5)已有安全措措施的確認認(6)風險分析(7)風險評估文文件記錄423、風險評估估怎么做-風險評估實實施流程-風險評估的的形式-信息系統(tǒng)統(tǒng)生命周周期各階階段的風風險評估估43信息安全風風險評估估分為自自評估、、檢查評評估兩種種形式。。自評估估為主，，自評估估和檢查查評估相相互結(jié)合合、互為為補充。。自評估估和檢查查評估可可依托自自身技術(shù)術(shù)力量進進行，也也可委托托第三方方機構(gòu)提提供技術(shù)術(shù)支持。。風險評估估的形式式44自評估自評估可由由發(fā)起方方實施或或委托風風險評估估服務(wù)技技術(shù)支持持方實施施。由發(fā)發(fā)起方實實施的評評估可以以降低實實施的費費用、提提高信息息系統(tǒng)相相關(guān)人員員的安全全意識，，但可能能由于缺缺乏風險險評估的的專業(yè)技技能，其其結(jié)果不不夠深入入準確；；同時，，受到組組織內(nèi)部部各種因因素的影影響，其其評估結(jié)結(jié)果的客客觀性易易受影響響。委托托風險評評估服務(wù)務(wù)技術(shù)支支持方實實施的評評估，過過程比較較規(guī)范、、評估結(jié)結(jié)果的客客觀性比比較好，，可信程程度較高高；但由由于受到到行業(yè)知知識技能能及業(yè)務(wù)務(wù)了解的的限制，，對被評評估系統(tǒng)統(tǒng)的了解解，尤其其是在業(yè)業(yè)務(wù)方面面的特殊殊要求存存在一定定的局限限。但由由于引入入第三方方本身就就是一個個風險因因素，因因此，對對其背景景與資質(zhì)質(zhì)、評估估過程與與結(jié)果的的保密要要求等方方面應(yīng)進進行控制制。45自評估中中的“自自”不僅僅僅是指指自已做做評估的的“自””，也不不僅僅是是指自愿愿做評估估的“自自”。由由于“誰誰主管誰誰負責””，出于于對自身身信息系系統(tǒng)的安安全責任任考慮，，信息系系統(tǒng)主管管者應(yīng)定定期對系系統(tǒng)進行行風險評評估，具具體實施施時可以以依托自自身的評評估隊伍伍進行，，也可委委托有資資質(zhì)的第第三方提提供評估估服務(wù)技技術(shù)支持持，但無無論是哪哪一種形形式，責責任都是是由信息息系統(tǒng)主主管者自自已擔負負的。因因此，自自評估中中的“自自”的含含義是自自已負責責的“自自”。包包括自已已負責系系統(tǒng)的安安全、自自己發(fā)起起對信息息系統(tǒng)的的風險評評估以及及自己負負責為保保障系統(tǒng)統(tǒng)安全所所做的風風險評估估的安全全等。46此外，為為保證風風險評估估的實施施，與系系統(tǒng)相連連的相關(guān)關(guān)方也應(yīng)應(yīng)配合，，以防止止給其他他方的使使用帶來來困難或或引入新新的風險險也往往往較多，，因此，，要對實實施檢查查評估機機構(gòu)的資資質(zhì)進行行嚴格管管理。47檢查評估估檢查評估是是指信息息系統(tǒng)上上級管理理部門組組織的或或國家有有關(guān)職能能部門依依法開展展的風險險評估。。檢查評估估可依據(jù)據(jù)本標準準的要求求，實施施完整的的風險評評估過程程。48一是風險險評估究究其根本本是評估估系統(tǒng)的的敏感信信息，涉涉及大量量的安全全問題，，完全委委托第三三方將帶帶來評估估本身的的風險；；二是進行行風險評評估要求求評估人人員既要要了解評評估本身身的一套套方法與與流程，，還要了了解被評評估系統(tǒng)統(tǒng)的業(yè)務(wù)務(wù)特性，，這對于于完全從從事評估估的第三三方來講講，在短短時間內(nèi)內(nèi)了解每每個系統(tǒng)統(tǒng)的業(yè)務(wù)務(wù)特性難難度是比比較大的的；三是風險險評估工工作流程程中常常常要求被被評估方方向評估估方提供供各種信信息，需需要之間間的良好好互動以以及多方方會商，，單靠評評估方第第三方是是無法完完成系統(tǒng)統(tǒng)評估的的。基于以上上原因，，委托評評估技術(shù)術(shù)支持比比委托評評估的提提法更為為切合實實際。并并且，提提供委托托評估技技術(shù)支持持的機構(gòu)構(gòu)應(yīng)具有有相應(yīng)的的資質(zhì)。。493、風險評評估怎么么做-風險評估估實施流流程-風險評估估的形式式-信息系統(tǒng)統(tǒng)生命周周期各階階段的風風險評估估50國信辦[2006]5號文件指指出：信息安全全風險評估估應(yīng)貫穿穿于網(wǎng)絡(luò)絡(luò)與信息息系統(tǒng)建建設(shè)運行行的全過過程。在在網(wǎng)絡(luò)與與信息系系統(tǒng)的設(shè)設(shè)計、驗驗收及運運行維護護階段均均應(yīng)當進進行信息息安全風風險評估估。如在在網(wǎng)絡(luò)與與信息系系統(tǒng)規(guī)劃劃設(shè)計階階段，應(yīng)應(yīng)通過信信息安全全風險評評估進一一步明確確安全需需求和安安全目標標。51信息系統(tǒng)統(tǒng)生命周周期各階階段的風風險評估估規(guī)劃階段段的風險險評估設(shè)計階段段的風險險評估實施階段段的風險險評估運行維維護階階段的的風險險評估估廢棄階階段的的風險險評估估52規(guī)劃階階段的的風險險評估估規(guī)劃階段段風險險評估估的目目的是是識別別系統(tǒng)統(tǒng)的業(yè)業(yè)務(wù)戰(zhàn)戰(zhàn)略，，以支支撐系系統(tǒng)安安全需需求及及安全全戰(zhàn)略略等。。規(guī)劃劃階段段的評評估應(yīng)應(yīng)能夠夠描述述信息息系統(tǒng)統(tǒng)建成成后對對現(xiàn)有有業(yè)務(wù)務(wù)模式式的作作用，，包括括技術(shù)術(shù)、管管理等等方面面，并并根據(jù)據(jù)其作作用確確定系系統(tǒng)建建設(shè)應(yīng)應(yīng)達到到的安安全目目標。。53設(shè)計階階段的的風險險評估估設(shè)計階段段的風風險評評估需需要根根據(jù)規(guī)規(guī)劃階階段所所明確確的系系統(tǒng)運運行環(huán)環(huán)境、、資產(chǎn)產(chǎn)重要要性，，提出出安全全功能能需求求。設(shè)設(shè)計階階段的的風險險評估估結(jié)果果應(yīng)對對設(shè)計計方案案中所所提供供的安安全功功能符符合性性進行行判斷斷，作作為采采購過過程風風險控控制的的依據(jù)據(jù)。54實施階階段的的風險險評估估實施階段段風險險評估估的目目的是是根據(jù)據(jù)系統(tǒng)統(tǒng)安全全需求求和運運行環(huán)環(huán)境對對系統(tǒng)統(tǒng)開發(fā)發(fā)、實實施過過程進進行風風險識識別，，并對對系統(tǒng)統(tǒng)建成成后的的安全全功能能進行行驗證證。根根據(jù)設(shè)設(shè)計階階段分分析的的威脅脅和制制定的的安全全措施施，在在實施施及驗驗收時時進行行質(zhì)量量控制制?；谠O(shè)設(shè)計階階段的的資產(chǎn)產(chǎn)列表表、安安全措措施，，實施施階段段應(yīng)對對規(guī)劃劃階段段的安安全威威脅進進行進進一步步細分分，同同時評評估安安全措措施的的實現(xiàn)現(xiàn)程度度，從從而確確定安安全措措施能能否抵抵御現(xiàn)現(xiàn)有威威脅、、脆弱弱性的的影響響。實實施階階段風風險評評估主主要對對系統(tǒng)統(tǒng)的開開發(fā)與與技術(shù)術(shù)/產(chǎn)品品獲獲取取、、系系統(tǒng)統(tǒng)交交付付實實施施兩兩個個過過程程進進行行評評估估。。55運行維護護階段的的風險評評估運行維護護階段風風險評估估的目的的是了解解和控制制運行過過程中的的安全風風險，是是一種較較為全面面的風險險評估。。評估內(nèi)內(nèi)容包括括對真實實運行的的信息系系統(tǒng)、資資產(chǎn)、威威脅、脆脆弱性等等各方面面。資產(chǎn)評估估：在真真實環(huán)境境下較為為細致的的評估。。包括實實施階段段采購的的軟硬件件資產(chǎn)、、系統(tǒng)運運行過程程中生成成的信息息資產(chǎn)、、相關(guān)的的人員與與服務(wù)等等，本階階段資產(chǎn)產(chǎn)識別是是前期資資產(chǎn)識別別的補充充與增加加；威脅評估估：應(yīng)全全面地分分析威脅脅的可能能性和影影響程度度。對非非故意威威脅導致致安全事事件的評評估可以以參照安安全事件件的發(fā)生生頻率；；對故意意威脅導導致安全全事件的的評估主主要就威威脅的各各個影響響因素做做出專業(yè)業(yè)判斷；；脆弱性評評估：是是全面的的脆弱性性評估。。包括運運行環(huán)境境中物理理、網(wǎng)絡(luò)絡(luò)、系統(tǒng)統(tǒng)、應(yīng)用用、安全全保障設(shè)設(shè)備、管管理等各各方面的的脆弱性性。技術(shù)術(shù)脆弱性性評估可可以采取取核查、、掃描、、案例驗驗證、滲滲透性測測試的方方式實施施；安全全保障設(shè)設(shè)備的脆脆弱性評評估，應(yīng)應(yīng)考慮安安全功能能的實現(xiàn)現(xiàn)情況和和安全保保障設(shè)備備本身的的脆弱性性；管理理脆弱性性評估可可以采取取文檔、、記錄核核查等方方式進行行驗證；；風險計算算：根據(jù)據(jù)本標準準的相關(guān)關(guān)方法，，對重要要資產(chǎn)的的風險進進行定性性或定量量的風險險分析，，描述不不同資產(chǎn)產(chǎn)的風險險高低狀狀況。56廢棄階段段的風險險評估當信息系系統(tǒng)不能能滿足現(xiàn)現(xiàn)有要求求時，信信息系統(tǒng)統(tǒng)進入廢廢棄階段段。根據(jù)據(jù)廢棄的的程度，，又分為為部分廢廢棄和全全部廢棄棄兩種。。廢棄階段風險險評估著重在在以下幾方面面：1、確保硬件和和軟件等資產(chǎn)產(chǎn)及殘留信息息得到了適當當?shù)奶幹?，并并確保系統(tǒng)組件被合理理地丟棄或更更換；2、如果被廢棄棄的系統(tǒng)是某某個系統(tǒng)的一一部分，或與與其他系統(tǒng)存存在物理或邏輯上的連連接，還應(yīng)考考慮系統(tǒng)廢棄棄后與其他系系統(tǒng)的連接是是否被關(guān)閉；3、如果在系統(tǒng)統(tǒng)變更中廢棄棄，除對廢棄棄部分外，還還應(yīng)對變更的的部分進行評估，以確確定是否會增增加風險或引引入新的風險險；4、是否建立了了流程，確保保更新過程在在一個安全、、系統(tǒng)化的狀狀態(tài)下完成。57匯報內(nèi)容一、標準的編編制過程二、標準的主主要內(nèi)容三、下一步工工作的幾點思思考58--按照