信息安全風(fēng)險評估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹 二

信息安全風(fēng)險評估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹1主要內(nèi)容一、標(biāo)準(zhǔn)的編制過程二、標(biāo)準(zhǔn)的主要內(nèi)容三、下一步工作的幾點思考2主要內(nèi)容一、標(biāo)準(zhǔn)的編制過程二、標(biāo)準(zhǔn)的主要內(nèi)容三、下一步工作的幾點思考3一、標(biāo)準(zhǔn)的編制過程1、前期研究準(zhǔn)備2、標(biāo)準(zhǔn)草案編制3、試點實踐檢驗4、專家評審論證4一、標(biāo)準(zhǔn)的編制過程1、前期研究準(zhǔn)備2、標(biāo)準(zhǔn)草案編制3、試點實踐檢驗4、專家評審論證5

1、前期研究準(zhǔn)備

2003年7月,中辦發(fā)[2003]27號文件對開展信息安全風(fēng)險評估工作提出了明確的要求。國信辦委托國家信息中心牽頭，成立了國家信息安全風(fēng)險評估課題組，對信息安全風(fēng)險評估相關(guān)工作展開調(diào)查研究。課題組利用半年多的時間，對我國信息安全風(fēng)險評估現(xiàn)狀進(jìn)行了深入調(diào)查，掌握了第一手情況；對國內(nèi)外相關(guān)領(lǐng)域的理論進(jìn)行了學(xué)習(xí)、分析和研究，查閱了大量的相關(guān)資料，基本了解了此領(lǐng)域的國際前沿動態(tài)。這些都為標(biāo)準(zhǔn)編制工作奠定了良好的基礎(chǔ)。6

統(tǒng)一的風(fēng)險評估技術(shù)標(biāo)準(zhǔn)是規(guī)范開展信息安全風(fēng)險評估工作的必備條件。落實中辦發(fā)27號文件、全面推進(jìn)我國的信息安全風(fēng)險評估工作，首先就必須解決我國缺乏統(tǒng)一的風(fēng)險評估技術(shù)標(biāo)準(zhǔn)的問題。為此，國信辦領(lǐng)導(dǎo)根據(jù)專家們的建議，決定著手開展信息安全風(fēng)險評估國家標(biāo)準(zhǔn)的編制工作及相關(guān)實踐活動。旨在通過這項工作更好地加強(qiáng)國家基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)的風(fēng)險評估及管理工作，使其流程更加科學(xué)、統(tǒng)一、規(guī)范、有效。7一、標(biāo)準(zhǔn)的編制過程1、前期研究準(zhǔn)備2、標(biāo)準(zhǔn)草案編制3、試點實踐檢驗4、專家評審論證8

根據(jù)國信辦的指示和信安標(biāo)委的具體要求，國家信息中心組織國家保密技術(shù)研究所、公安部三所、北京信息安全測評中心、上海市測評認(rèn)證中心、信息安全國家重點實驗室以及BJCA、上海三零衛(wèi)士、聯(lián)想、天融信、啟明星辰、綠盟、科飛、凝瑞等國內(nèi)十幾家企事業(yè)單位于2004年3月29日正式啟動標(biāo)準(zhǔn)草案的編制工作。此后，中國信息安全產(chǎn)品測評認(rèn)證中心、解放軍信息技術(shù)安全研究中心、航天部二院七O六所等單位也參與了標(biāo)準(zhǔn)的編制與起草。起草組在前期準(zhǔn)備工作的基礎(chǔ)上，經(jīng)過多次研究探討，確定了編制標(biāo)準(zhǔn)應(yīng)遵循的原則:

2、標(biāo)準(zhǔn)草案編制9

1、符合我國現(xiàn)行的信息安全有關(guān)法律法規(guī)的要求，認(rèn)真貫徹落實27號文件關(guān)于加強(qiáng)信息安全風(fēng)險評估工作的精神；

2、立足于我國信息化建設(shè)實踐，積極借鑒國際先進(jìn)標(biāo)準(zhǔn)的技術(shù)，提出符合我國基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)工程建設(shè)需求的風(fēng)險評估規(guī)范；

3、針對網(wǎng)絡(luò)與信息系統(tǒng)的全生命周期，制訂適應(yīng)不同階段特點和要求的風(fēng)險評估實施方法；

4、積極吸收信息安全有關(guān)主管部門和單位在等級保護(hù)、保密檢查和產(chǎn)品測評等工作的經(jīng)驗與成果；

5、標(biāo)準(zhǔn)文本體系結(jié)構(gòu)科學(xué)合理，表述清晰，具有可實現(xiàn)性和可操作性。

10在標(biāo)準(zhǔn)準(zhǔn)編編制制的的過過程程中中，，標(biāo)標(biāo)準(zhǔn)準(zhǔn)起起草草組組多多次次與與相相關(guān)關(guān)主主管管部部門門所所屬屬機(jī)機(jī)構(gòu)構(gòu)的的專專家家代代表表就就技技術(shù)術(shù)標(biāo)標(biāo)準(zhǔn)準(zhǔn)有有關(guān)關(guān)主主體體內(nèi)內(nèi)容容進(jìn)進(jìn)行行會會商商；；向相相關(guān)關(guān)單單位位發(fā)發(fā)放放標(biāo)標(biāo)準(zhǔn)準(zhǔn)文文本本，，通過過電電子子郵郵件件等等形形式式廣廣泛泛征征求求業(yè)業(yè)界界意意見見；；召召開開標(biāo)標(biāo)準(zhǔn)準(zhǔn)討討論論會會議議三三十十幾幾次次，，共共收收集集100多條條修修改改意意見見。。起草草組組逐逐一一對對修修改改意意見見進(jìn)進(jìn)行行研研究究，，在在充充分分吸吸納納合合理理成成份份的的基基礎(chǔ)礎(chǔ)上上，，對對《信息息安安全全風(fēng)風(fēng)險險評評估估規(guī)規(guī)范范》等標(biāo)標(biāo)準(zhǔn)準(zhǔn)進(jìn)進(jìn)行行了了較較大大幅幅度度的的修修改改，，使使標(biāo)標(biāo)準(zhǔn)準(zhǔn)的的體體系系結(jié)結(jié)構(gòu)構(gòu)更更趨趨完完善善、、合合理理。。11一、、標(biāo)標(biāo)準(zhǔn)準(zhǔn)的的制制定定過過程程1、前前期期研研究究準(zhǔn)準(zhǔn)備備2、標(biāo)準(zhǔn)準(zhǔn)草草案案編編制制3、試試點點實實踐踐檢檢驗驗4、專專家家評評審審論論證證123、試試點點實實踐踐檢檢驗驗2005年2月,根據(jù)據(jù)國信信辦辦[2005]4號和和5號文文件件，，關(guān)關(guān)于于在在銀銀行行、、稅稅務(wù)務(wù)、、電電力力等等部部門門和和電電子子政政務(wù)務(wù)外外網(wǎng)網(wǎng)，，以以及及北北京京、、上上海海、、黑黑龍龍江江、、云云南南等等省省市市，，開開展展信信息息安安全全風(fēng)風(fēng)險險評評估估試試點點工工作作的的要要求求，，標(biāo)標(biāo)準(zhǔn)準(zhǔn)起起草草組組配配合合風(fēng)風(fēng)險險評評估估試試點點工工作作專專家家組組開開展展了了以以下下工工作作：：--為各各試試點點單單位位提提供供標(biāo)標(biāo)準(zhǔn)準(zhǔn)草草案案文文本本和和相相關(guān)關(guān)說說明明；；--在試試點點準(zhǔn)準(zhǔn)備備階階段段與與各各試試點點單單位位的的技技術(shù)術(shù)骨骨干干進(jìn)進(jìn)行行標(biāo)標(biāo)準(zhǔn)技技術(shù)術(shù)交交流流；；--根據(jù)據(jù)標(biāo)標(biāo)準(zhǔn)準(zhǔn)草草案案文文本本涉涉及及的的關(guān)關(guān)鍵鍵技技術(shù)術(shù)，，起起草草組組成成員員選擇擇試試點點環(huán)環(huán)節(jié)節(jié)參參與與實實際際試試點點；；--在試試點點過過程程中中，，先先后后幾幾次次召召開開標(biāo)標(biāo)準(zhǔn)準(zhǔn)研研討討會會，，征征求求各單單位位對對標(biāo)標(biāo)準(zhǔn)準(zhǔn)的的意意見見與與建建議議。。13整個試試點點工工作作歷歷時時7個月月，，各試試點點單單位位對對標(biāo)標(biāo)準(zhǔn)準(zhǔn)草草案案先先后后提提出出40多條條補(bǔ)補(bǔ)充充修修改改意意見見，，標(biāo)標(biāo)準(zhǔn)準(zhǔn)起起草草組組根據(jù)試試點結(jié)結(jié)果先后進(jìn)進(jìn)行了了三次次較大大規(guī)模模的修修改。。主要要內(nèi)容容包括括：--細(xì)化了了資產(chǎn)產(chǎn)的分分類方方法、、脆弱弱性的的識別別要求求，修修改并細(xì)細(xì)化了了風(fēng)險險計算算的方方法；；--對自評評估、、檢查查評估估不同同評估估形式式的內(nèi)內(nèi)容與與實施施的重點點進(jìn)行行了區(qū)區(qū)分；；--對風(fēng)險險評估估的工工具進(jìn)進(jìn)行了了梳理理和區(qū)區(qū)分，，形成成了現(xiàn)現(xiàn)在的幾幾種類類型；；--細(xì)化了了生命命周期期不同同階段段風(fēng)險險評估估的主主要內(nèi)內(nèi)容。。試點實實踐證證明，，試行行標(biāo)準(zhǔn)準(zhǔn)基本本滿足足各試試點單單位評評估工工作的的需求求。14一、標(biāo)標(biāo)準(zhǔn)的的制定定過程程1、前期期研究究準(zhǔn)備備2、標(biāo)準(zhǔn)草草案編編制3、試點點實踐踐檢驗驗4、專家家評審審論證證152005年9月16日，國國家信信息中中心在在北京京組織織召開開了由周周仲義義院士士主持持的《信息安安全風(fēng)風(fēng)險評評估指指南（（征求求意見稿））》第一次次專家家評審審會。。4、專家家評審審論證證16第一次次專家家評審審會名名單姓名單位職務(wù)/職稱周仲義中國工程院院士熊四皓國務(wù)院信息辦處長王娜國家發(fā)改委高科技司處長姚世權(quán)中國標(biāo)準(zhǔn)化協(xié)會研究員賈穎禾全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會副秘書長/研究員崔書昆國家信息化專家咨詢委員會委員/研究員景乾元公安部十一局處長李建彬國稅總局信息中心副處長張宏偉黑龍江省信息產(chǎn)業(yè)廳處長姚麗旋上海市信息化管理委員會處長肖京華總參三部三局處長馮惠中國電子技術(shù)標(biāo)準(zhǔn)化研究所副主任/高工吳偉國家電網(wǎng)公司處長詹榜華北京市CA中心總經(jīng)理172005年10月27日，國國家信信息中中心在在北京京組織織召開開了信信息安安全風(fēng)風(fēng)險評評估國國家標(biāo)標(biāo)準(zhǔn)征征求意意見稿稿的第第二次次專家家評審審會。。18第二次次專家家評審審會名名單姓名單位職務(wù)/職稱何義大全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會副主任趙戰(zhàn)生國家信息化咨詢委員會研究員曲成義國家信息化咨詢委員會研究員馮登國信息安全863項目專家組組長研究員陳曉樺中國信息安全產(chǎn)品測評認(rèn)證中心研究員崔書昆國家信息化咨詢委員會研究員景乾元公安部十一局處長肖京華解放軍信息安全測評中心處長賈穎禾全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會副秘書長李守鵬中國信息安全產(chǎn)品測評認(rèn)證中心副主任王同良中石油經(jīng)濟(jì)技術(shù)中心副主任江志強(qiáng)民航總局人事科技司處長謝小權(quán)航天科技集團(tuán)706所副所長呂仲濤中國工商銀行總行信息科技部總工19與會專家家認(rèn)為為標(biāo)準(zhǔn)準(zhǔn)起草草組做做了大大量卓卓有成成效的的工作作，標(biāo)標(biāo)準(zhǔn)的的結(jié)構(gòu)構(gòu)合理理、內(nèi)內(nèi)容完完備、、可操操作性性強(qiáng)，，并充充分考考慮與與信息息安全全等級級保護(hù)護(hù)相關(guān)關(guān)標(biāo)準(zhǔn)準(zhǔn)相銜銜接。。文本本的編編制符符合國國家標(biāo)標(biāo)準(zhǔn)的的要求求。同同時，，專家家們也也對完完善標(biāo)標(biāo)準(zhǔn)提提出了了進(jìn)一一步的的修改改意見見。202005年12月14日，由由安標(biāo)標(biāo)委第第五工工作組組主持持召開開了由由沈昌昌祥院院士為為專家家組組組長的的信息息安全全風(fēng)險險評估估國家家標(biāo)準(zhǔn)準(zhǔn)送審審稿的的專家家評審審會。。21專家評評審會會名單單姓名單位職務(wù)/職稱沈昌祥海軍計算技術(shù)研究所院士吉增瑞公安部信息安全標(biāo)委會委員研究員趙戰(zhàn)生國家信息化咨詢委員會研究員卿斯?jié)h中科院信息安全技術(shù)工程研究中心研究員杜虹國家保密技術(shù)研究所所長景乾元公安部十一局處長崔書昆國家信息化咨詢委員會研究員22與會專家家聽取取了起起草小小組的的編制制說明明及內(nèi)內(nèi)容介介紹，，審閱閱了相相關(guān)文文檔資資料，，經(jīng)質(zhì)質(zhì)詢和和討論論，一一致認(rèn)認(rèn)為：：一、送送審稿稿規(guī)范范了風(fēng)風(fēng)險評評估的的評估估內(nèi)容容與范范圍、、基本本概念念，明明確了資產(chǎn)產(chǎn)、威威脅、、脆弱弱性和和安全全風(fēng)險險等關(guān)關(guān)鍵要要素及及其賦賦值原原則和和要求，，提出出了實實施流流程與與操作作步驟驟、評評估規(guī)規(guī)則與與基本本方法法，并并充分考考慮與與信息息安全全等級級保護(hù)護(hù)相關(guān)關(guān)標(biāo)準(zhǔn)準(zhǔn)相銜銜接。。二、送送審稿稿的操操作性性較強(qiáng)強(qiáng)，對對開展展風(fēng)險險評估估工作作具有有指導(dǎo)導(dǎo)作用用，并在國國務(wù)院院信息息辦組組織的的風(fēng)險險評估估試點點中得得到了了進(jìn)一一步的的實踐踐驗證和和充實實完善善。三、文文本的的編制制符合合國家家標(biāo)準(zhǔn)準(zhǔn)GB1.1的要求求。專家組組認(rèn)為為送審審稿達(dá)達(dá)到國國家標(biāo)標(biāo)準(zhǔn)送送審稿稿的要要求，，同意意通過過評審。建建議起起草組組根據(jù)據(jù)專家家意見見盡快快修改改完善善后申申報。。232006年３月月６日日和３３月１１６日日，在在國信信辦進(jìn)進(jìn)行的的行業(yè)和和省市市的風(fēng)風(fēng)險評評估政政策文文件的的兩次次宣貫貫會上上，信信息安安全風(fēng)險評評估征征求意意見稿稿以國國信辦辦文件件的形形式下下發(fā)，，為各各行業(yè)業(yè)和省市開開展風(fēng)風(fēng)險評評估提提供技技術(shù)依依據(jù)。。242006年4月18日，全全國信信息安安全標(biāo)標(biāo)準(zhǔn)化化技術(shù)術(shù)委員員（安標(biāo)標(biāo)委））會第第五工工作組組（WG5）在北北京召召開全全體工工作組組成員員標(biāo)準(zhǔn)投投票會會議，，對信信息安安全風(fēng)風(fēng)險評評估國國家標(biāo)標(biāo)準(zhǔn)送送審稿稿進(jìn)行行工作組全全體成成員投投票表表決。。與會會的三三十幾幾位專專家聽聽取了了標(biāo)準(zhǔn)準(zhǔn)起草組對對《指南》的編制制過程程以及及主要要內(nèi)容容的介介紹，，經(jīng)投投票一一致通過過了標(biāo)標(biāo)準(zhǔn)的的評審審。252006年6月19日，全全國信信息安安全標(biāo)標(biāo)準(zhǔn)化化技術(shù)術(shù)委員員會秘秘書處處在北北京組組織召召開了了信息息安全全風(fēng)險險評估估標(biāo)準(zhǔn)準(zhǔn)送審審稿的的專家家審查查會，，與會會專家家經(jīng)質(zhì)質(zhì)詢和和討論論，將將標(biāo)準(zhǔn)準(zhǔn)正式式命名名為《信息安安全技技術(shù)信信息安安全風(fēng)風(fēng)險評評估規(guī)規(guī)范》，認(rèn)為為該標(biāo)標(biāo)準(zhǔn)達(dá)達(dá)到國國家標(biāo)標(biāo)準(zhǔn)送送審稿稿的要要求，，同意意通過過評審審。會后，，國家家信息息中心心先后后與各各起草草單位位和有有關(guān)專專家就就標(biāo)準(zhǔn)準(zhǔn)規(guī)范范報批批稿的的修改改進(jìn)行行了進(jìn)進(jìn)一步步的研研討，，并逐逐一落落實了了專家家提出出的意意見。。262006年7月19日，全全國國信息息安全全標(biāo)準(zhǔn)準(zhǔn)化委委員會會主任任辦公公會上上討論論通過過了《信息安安全技技術(shù)信信息安安全風(fēng)風(fēng)險評評估規(guī)規(guī)范》(報批稿稿),目前已已進(jìn)入入報批批程序序。27主要內(nèi)內(nèi)容一、標(biāo)標(biāo)準(zhǔn)的的編制制過程程二、標(biāo)標(biāo)準(zhǔn)的的主要要內(nèi)容容三、下下一步步工作作的幾幾點思思考28二、標(biāo)標(biāo)準(zhǔn)的的主要要內(nèi)容容1、什么么是風(fēng)風(fēng)險評評估2、為什什么要要做風(fēng)風(fēng)險評評估3、風(fēng)險險評估估怎么么做29二、標(biāo)標(biāo)準(zhǔn)的的主要要內(nèi)容容1、什么么是風(fēng)風(fēng)險評評估2、為什什么要要做風(fēng)風(fēng)險評評估3、風(fēng)險險評估估怎么么做301、什么么是風(fēng)風(fēng)險評評估信息安安全風(fēng)風(fēng)險人為或或自然然的威威脅利利用信信息系系統(tǒng)及及其管管理體體系中中存在在的脆脆弱性性導(dǎo)致致安全全事件件的發(fā)發(fā)生及及其對對組織織造成成的影影響。。信息安全風(fēng)風(fēng)險評估依據(jù)有關(guān)信信息安全技技術(shù)與管理理標(biāo)準(zhǔn)，對對信息系統(tǒng)統(tǒng)及由其處處理、傳輸輸和存儲的的信息的保保密性、完完整性和可可用性等安安全屬性進(jìn)進(jìn)行評價的的過程。它它要評估資資產(chǎn)面臨的的威脅以及及威脅利用用脆弱性導(dǎo)導(dǎo)致安全事事件的可能能性，并結(jié)結(jié)合安全事事件所涉及及的資產(chǎn)價價值來判斷斷安全事件件一旦發(fā)生生對組織造造成的影響響。31風(fēng)險評估要要素關(guān)系圖圖圖中方框部部分的內(nèi)容容為風(fēng)險評評估的基本本要素;橢圓部分的的內(nèi)容是與與這些要素素相關(guān)的屬屬性。風(fēng)險評估圍圍繞著基本本要素展開開，同時需需要充分考考慮與基本本要素相關(guān)關(guān)的各類屬屬性。（1）業(yè)務(wù)戰(zhàn)略略的實現(xiàn)對對資產(chǎn)具有有依賴性，，依賴程度度越高，要要求其風(fēng)險險越??；（2）資產(chǎn)是有有價值的，，組織的業(yè)業(yè)務(wù)戰(zhàn)略對對資產(chǎn)的依依賴程度越越高，資產(chǎn)產(chǎn)價值就越越大；（3）風(fēng)險是由由威脅引發(fā)發(fā)的，資產(chǎn)產(chǎn)面臨的威威脅越多則則風(fēng)險越大大，并可能能演變成安安全事件；；（4）資產(chǎn)的脆脆弱性可以以暴露資產(chǎn)產(chǎn)的價值，，資產(chǎn)具有有的弱點越越多則風(fēng)險險越大；（5）脆弱性是是未被滿足足的安全需需求，威脅脅利用脆弱弱性危害資資產(chǎn)；（6）風(fēng)險的存存在及對風(fēng)風(fēng)險的認(rèn)識識導(dǎo)出安全全需求；（7）安全需求可可通過安全措措施得以滿足足，需要結(jié)合合資產(chǎn)價值考考慮實施成本本；（8）安全措施可可抵御威脅，，降低風(fēng)險；；（9）殘余風(fēng)險是是未被安全措措施控制的風(fēng)風(fēng)險。有些是是安全措施不不當(dāng)或無效,需要加強(qiáng)才可可控制的風(fēng)險險；而有些則則是在綜合考考慮了安全成成本與效益后后未去控制的的風(fēng)險；（10）殘余風(fēng)險應(yīng)應(yīng)受到密切監(jiān)監(jiān)視，它可能能會在將來誘誘發(fā)新的安全全事件。32二、標(biāo)準(zhǔn)的主主要內(nèi)容1、什么是風(fēng)險險評估2、為什么要做做風(fēng)險評估3、風(fēng)險評估怎怎么做332、為什么要做做風(fēng)險評估安全源于風(fēng)險。在信息化建設(shè)設(shè)中，建設(shè)與與運營的網(wǎng)絡(luò)絡(luò)與信息系統(tǒng)統(tǒng)由于可能存存在的系統(tǒng)設(shè)設(shè)計缺陷、隱隱含于軟硬件件設(shè)備的缺陷陷、系統(tǒng)集成成時帶來的缺缺陷，以及可可能存在的某某些管理薄弱弱環(huán)節(jié)，尤其其當(dāng)網(wǎng)絡(luò)與信信息系統(tǒng)中擁擁有極為重要要的信息資產(chǎn)產(chǎn)時，都將使使得面臨復(fù)雜雜環(huán)境的網(wǎng)絡(luò)絡(luò)與信息系統(tǒng)統(tǒng)潛在著若干干不同程度的的安全風(fēng)險。。34風(fēng)險評估可以不不斷深入地發(fā)發(fā)現(xiàn)系統(tǒng)建設(shè)設(shè)中的安全隱隱患，采取或完善更更加經(jīng)濟(jì)有效效的安全保障障措施，來消除安全建設(shè)設(shè)中的盲目樂樂觀或盲目恐恐懼，提出有有針對性的從從實際出發(fā)的的解決方法，，提高系統(tǒng)安安全的科學(xué)管管理水平，進(jìn)進(jìn)而全面提升升網(wǎng)絡(luò)與信息息系統(tǒng)的安全全保障能力。。35信息安全風(fēng)險評評估，是從風(fēng)風(fēng)險管理角度度，運用科學(xué)學(xué)的方法和手手段，系統(tǒng)地地分析網(wǎng)絡(luò)與與信息系統(tǒng)所所面臨的威脅脅及其存在的的脆弱性，評評估安全事件件一旦發(fā)生可可能造成的危危害程度，提提出有針對性性的抵御威脅脅的防護(hù)對策策和整改措施施。并為防范范和化解信息息安全風(fēng)險，，或者將風(fēng)險險控制在可接接受的水平，，從而最大限限度地保障網(wǎng)網(wǎng)絡(luò)和信息安安全提供科學(xué)學(xué)依據(jù)。（國信辦[2006]5號文件）36二、標(biāo)準(zhǔn)的主主要內(nèi)容1、什么是風(fēng)險險評估2、為什么要做做風(fēng)險評估3、風(fēng)險評估怎怎么做373、風(fēng)險評估怎怎么做-風(fēng)險評估實施施流程-風(fēng)險評估的形形式-信息系統(tǒng)生命命周期各階段段的風(fēng)險評估估383、風(fēng)險評估怎怎么做-風(fēng)險評估實施施流程-風(fēng)險評估的形形式-信息系統(tǒng)生命命周期各階段段的風(fēng)險評估估39風(fēng)險評估的實實施流程先期準(zhǔn)備要素分析風(fēng)險分析文檔記錄風(fēng)險評估實施施流程圖40實施步驟(1)風(fēng)險評估的準(zhǔn)準(zhǔn)備(2)資產(chǎn)識別(3)威脅識別(4)脆弱性識別(5)已有安全措施施的確認(rèn)(6)風(fēng)險分析(7)風(fēng)險評估文件件記錄413、風(fēng)險評估怎怎么做-風(fēng)險評估實施施流程-風(fēng)險評估的形形式-信息系統(tǒng)生命命周期各階段段的風(fēng)險評估估42信息安全風(fēng)險評評估分為自評評估、檢查評評估兩種形式式。自評估為為主，自評估估和檢查評估估相互結(jié)合、、互為補(bǔ)充。。自評估和檢檢查評估可依依托自身技術(shù)術(shù)力量進(jìn)行，，也可委托第第三方機(jī)構(gòu)提提供技術(shù)支持持。風(fēng)險評估的形形式43自評估自評估可由發(fā)起起方實施或委委托風(fēng)險評估估服務(wù)技術(shù)支支持方實施。。由發(fā)起方實實施的評估可可以降低實施施的費用、提提高信息系統(tǒng)統(tǒng)相關(guān)人員的的安全意識，，但可能由于于缺乏風(fēng)險評評估的專業(yè)技技能，其結(jié)果果不夠深入準(zhǔn)準(zhǔn)確；同時，，受到組織內(nèi)內(nèi)部各種因素素的影響，其其評估結(jié)果的的客觀性易受受影響。委托托風(fēng)險評估服服務(wù)技術(shù)支持持方實施的評評估，過程比比較規(guī)范、評評估結(jié)果的客客觀性比較好好，可信程度度較高；但由由于受到行業(yè)業(yè)知識技能及及業(yè)務(wù)了解的的限制，對被被評估系統(tǒng)的的了解，尤其其是在業(yè)務(wù)方方面的特殊要要求存在一定定的局限。但但由于引入第第三方本身就就是一個風(fēng)險險因素，因此此，對其背景景與資質(zhì)、評評估過程與結(jié)結(jié)果的保密要要求等方面應(yīng)應(yīng)進(jìn)行控制。。44自評估中的““自”不僅僅僅是指自已做做評估的“自自”，也不僅僅僅是指自愿愿做評估的““自”。由于于“誰主管誰誰負(fù)責(zé)”，出出于對自身信信息系統(tǒng)的安安全責(zé)任考慮慮，信息系統(tǒng)統(tǒng)主管者應(yīng)定定期對系統(tǒng)進(jìn)進(jìn)行風(fēng)險評估估，具體實施施時可以依托托自身的評估估隊伍進(jìn)行，，也可委托有有資質(zhì)的第三三方提供評估估服務(wù)技術(shù)支支持，但無論論是哪一種形形式，責(zé)任都都是由信息系系統(tǒng)主管者自自已擔(dān)負(fù)的。。因此，自評評估中的“自自”的含義是是自已負(fù)責(zé)的的“自”。包包括自已負(fù)責(zé)責(zé)系統(tǒng)的安全全、自己發(fā)起起對信息系統(tǒng)統(tǒng)的風(fēng)險評估估以及自己負(fù)負(fù)責(zé)為保障系系統(tǒng)安全所做做的風(fēng)險評估估的安全等。。45此外，為保證證風(fēng)險評估的的實施，與系系統(tǒng)相連的相相關(guān)方也應(yīng)配配合，以防止止給其他方的的使用帶來困困難或引入新新的風(fēng)險也往往往較多，因因此，要對實實施檢查評估估機(jī)構(gòu)的資質(zhì)質(zhì)進(jìn)行嚴(yán)格管管理。46檢查評估檢查評估是指信信息系統(tǒng)上級級管理部門組組織的或國家家有關(guān)職能部部門依法開展展的風(fēng)險評估估。檢查評估可依依據(jù)本標(biāo)準(zhǔn)的的要求，實施施完整的風(fēng)險險評估過程。。47一是風(fēng)險評估估究其根本是是評估系統(tǒng)的的敏感信息，，涉及大量的的安全問題，，完全委托第第三方將帶來來評估本身的的風(fēng)險；二是進(jìn)行風(fēng)險險評估要求評評估人員既要要了解評估本本身的一套方方法與流程，，還要了解被被評估系統(tǒng)的的業(yè)務(wù)特性，，這對于完全全從事評估的的第三方來講講，在短時間間內(nèi)了解每個個系統(tǒng)的業(yè)務(wù)務(wù)特性難度是是比較大的；；三是風(fēng)險評估估工作流程中中常常要求被被評估方向評評估方提供各各種信息，需需要之間的良良好互動以及及多方會商，，單靠評估方方第三方是無無法完成系統(tǒng)統(tǒng)評估的?；谝陨显蛞?，委托評估估技術(shù)支持比比委托評估的的提法更為切切合實際。并并且，提供委委托評估技術(shù)術(shù)支持的機(jī)構(gòu)構(gòu)應(yīng)具有相應(yīng)應(yīng)的資質(zhì)。483、風(fēng)險評估怎怎么做-風(fēng)險評估實施施流程-風(fēng)險評估的形形式-信息系統(tǒng)生命命周期各階段段的風(fēng)險評估估49國信辦[2006]5號文件指出：：信息安全風(fēng)險評估應(yīng)貫貫穿于網(wǎng)絡(luò)與與信息系統(tǒng)建建設(shè)運行的全全過程。在網(wǎng)網(wǎng)絡(luò)與信息系系統(tǒng)的設(shè)計、、驗收及運行行維護(hù)階段均均應(yīng)當(dāng)進(jìn)行信信息安全風(fēng)險險評估。如在在網(wǎng)絡(luò)與信息息系統(tǒng)規(guī)劃設(shè)設(shè)計階段，應(yīng)應(yīng)通過信息安安全風(fēng)險評估估進(jìn)一步明確確安全需求和和安全目標(biāo)。。50信息系系統(tǒng)生生命周周期各各階段段的風(fēng)風(fēng)險評評估規(guī)劃階階段的的風(fēng)險險評估估設(shè)計階階段的的風(fēng)險險評估估實施階階段的的風(fēng)險險評估估運行維維護(hù)階階段的的風(fēng)險險評估估廢棄階階段的的風(fēng)險險評估估51規(guī)劃階階段的的風(fēng)險險評估估規(guī)劃階段段風(fēng)險險評估估的目目的是是識別別系統(tǒng)統(tǒng)的業(yè)業(yè)務(wù)戰(zhàn)戰(zhàn)略，，以支支撐系系統(tǒng)安安全需需求及及安全全戰(zhàn)略略等。。規(guī)劃劃階段段的評評估應(yīng)應(yīng)能夠夠描述述信息息系統(tǒng)統(tǒng)建成成后對對現(xiàn)有有業(yè)務(wù)務(wù)模式式的作作用，，包括括技術(shù)術(shù)、管管理等等方面面，并并根據(jù)據(jù)其作作用確確定系系統(tǒng)建建設(shè)應(yīng)應(yīng)達(dá)到到的安安全目目標(biāo)。。52設(shè)計階階段的的風(fēng)險險評估估設(shè)計階段段的風(fēng)風(fēng)險評評估需需要根根據(jù)規(guī)規(guī)劃階階段所所明確確的系系統(tǒng)運運行環(huán)環(huán)境、、資產(chǎn)產(chǎn)重要要性，，提出出安全全功能能需求求。設(shè)設(shè)計階階段的的風(fēng)險險評估估結(jié)果果應(yīng)對對設(shè)計計方案案中所所提供供的安安全功功能符符合性性進(jìn)行行判斷斷，作作為采采購過過程風(fēng)風(fēng)險控控制的的依據(jù)據(jù)。53實施階階段的的風(fēng)險險評估估實施階段段風(fēng)險險評估估的目目的是是根據(jù)據(jù)系統(tǒng)統(tǒng)安全全需求求和運運行環(huán)環(huán)境對對系統(tǒng)統(tǒng)開發(fā)發(fā)、實實施過過程進(jìn)進(jìn)行風(fēng)風(fēng)險識識別，，并對對系統(tǒng)統(tǒng)建成成后的的安全全功能能進(jìn)行行驗證證。根根據(jù)設(shè)設(shè)計階階段分分析的的威脅脅和制制定的的安全全措施施，在在實施施及驗驗收時時進(jìn)行行質(zhì)量量控制制?；谠O(shè)設(shè)計階階段的的資產(chǎn)產(chǎn)列表表、安安全措措施，，實施施階段段應(yīng)對對規(guī)劃劃階段段的安安全威威脅進(jìn)進(jìn)行進(jìn)進(jìn)一步步細(xì)分分，同同時評評估安安全措措施的的實現(xiàn)現(xiàn)程度度，從從而確確定安安全措措施能能否抵抵御現(xiàn)現(xiàn)有威威脅、、脆弱弱性的的影響響。實實施階階段風(fēng)風(fēng)險評評估主主要對對系統(tǒng)統(tǒng)的開開發(fā)與與技術(shù)術(shù)/產(chǎn)品品獲獲取取、、系系統(tǒng)統(tǒng)交交付付實實施施兩兩個個過過程程進(jìn)進(jìn)行行評評估估。。54運行行維維護(hù)護(hù)階階段段的的風(fēng)風(fēng)險險評評估估運行行維維護(hù)護(hù)階階段段風(fēng)風(fēng)險險評評估估的的目目的的是是了了解解和和控控制制運運行行過過程程中中的的安安全全風(fēng)風(fēng)險險，，是是一一種種較較為為全全面面的的風(fēng)風(fēng)險險評評估估。。評評估估內(nèi)內(nèi)容容包包括括對對真真實實運運行行的的信信息息系系統(tǒng)統(tǒng)、、資資產(chǎn)產(chǎn)、、威威脅脅、、脆脆弱弱性性等等各各方方面面。。資產(chǎn)產(chǎn)評評估估：：在在真真實實環(huán)環(huán)境境下下較較為為細(xì)細(xì)致致的的評評估估。。包包括括實實施施階階段段采采購購的的軟軟硬硬件件資資產(chǎn)產(chǎn)、、系系統(tǒng)統(tǒng)運運行行過過程程中中生生成成的的信信息息資資產(chǎn)產(chǎn)、、相相關(guān)關(guān)的的人人員員與與服服務(wù)務(wù)等等，，本本階階段段資資產(chǎn)產(chǎn)識識別別是是前前期期資資產(chǎn)產(chǎn)識識別別的的補(bǔ)補(bǔ)充充與與增增加加；；威脅脅評評估估：：應(yīng)應(yīng)全全面面地地分分析析威威脅脅的的可可能能性性和和影影響響程程度度。。對對非非故故意意威威脅脅導(dǎo)導(dǎo)致致安安全全事事件件的的評評估估可可以以參參照照安安全全事事件件的的發(fā)發(fā)生生頻頻率率；；對對故故意意威威脅脅導(dǎo)導(dǎo)致致安安全全事事件件的的評評估估主主要要就就威威脅脅的的各各個個影影響響因因素素做做出出專專業(yè)業(yè)判判斷斷；；脆弱弱性性評評估估：：是是全全面面的的脆脆弱弱性性評評估估。。包包括括運運行行環(huán)環(huán)境境中中物物理理、、網(wǎng)網(wǎng)絡(luò)絡(luò)、、系系統(tǒng)統(tǒng)、、應(yīng)應(yīng)用用、、安安全全保保障障設(shè)設(shè)備備、、管管理理等等各各方方面面的的脆脆弱弱性性。。技技術(shù)術(shù)脆脆弱弱性性評評估估可可以以采采取取核核查查、、掃掃描描、、案案例例驗驗證證、、滲滲透透性性測測試試的的方方式式實實施施；；安安全全保保障障設(shè)設(shè)備備的的脆脆弱弱性性評評估估，，應(yīng)應(yīng)考考慮慮安安全全功功能能的的實實現(xiàn)現(xiàn)情情況況和和安安全全保保障障設(shè)設(shè)備備本本身身的的脆脆弱弱性性；；管管理理脆脆弱弱性性評評估估可可以以采采取取文文檔檔、、記記錄錄核核查查等等方方式式進(jìn)進(jìn)行行驗驗證證；；風(fēng)險險計計算算：：根根據(jù)據(jù)本本標(biāo)標(biāo)準(zhǔn)準(zhǔn)的的相相關(guān)關(guān)方方法法，，對對重重要要資資產(chǎn)產(chǎn)的的風(fēng)風(fēng)險險進(jìn)進(jìn)行行定定性性或或定定量量的的風(fēng)風(fēng)險險分分析析，，描描述述不不同同資資產(chǎn)產(chǎn)的的風(fēng)風(fēng)險險高高低低狀狀況況。。55廢棄棄階階段段的的風(fēng)風(fēng)險險評評估估當(dāng)信信息息系系統(tǒng)統(tǒng)不不能能滿滿足足現(xiàn)現(xiàn)有有要要求求時時，，信信息息系系統(tǒng)統(tǒng)進(jìn)進(jìn)入入廢廢棄棄階階段段。。根根據(jù)據(jù)廢廢棄棄的的程程度度，，又又分分為為部部分分廢廢棄棄和和全全部部廢廢棄棄兩兩種種。。廢棄棄階階段段風(fēng)風(fēng)險險評評估估著著重重在在以以下下幾幾方方面面：：1、確確保保硬硬件件和和軟軟件件等等資資產(chǎn)產(chǎn)及及殘殘留留信信息息得得到到了了適適當(dāng)當(dāng)?shù)牡奶幪幹弥?，，并并確確保保系系統(tǒng)組組件件被被合合理理地地丟丟棄棄或或更更換換；；2、如如果果被被廢廢棄棄的的系系統(tǒng)統(tǒng)是是某某個個系系統(tǒng)統(tǒng)的的一一部部分分，，或或與與其其他他系系統(tǒng)統(tǒng)存存在在物物理理或邏邏輯輯上上的的連連接接，，還還應(yīng)應(yīng)考考慮慮系系統(tǒng)統(tǒng)廢廢棄棄后后與與其其他他系系統(tǒng)統(tǒng)的的連連接接是是否否被被關(guān)閉閉；；3、如如果果在在系系統(tǒng)統(tǒng)變變更更中中廢廢棄棄，，除除對對廢廢棄棄部部分分外外，，還還應(yīng)應(yīng)對對變變更更的的部部分分進(jìn)進(jìn)行評評估估，，以以確確定