CISE講義CISP-01-信息安全測(cè)評(píng)服務(wù)介紹-new

CISP-01-信息安全測(cè)評(píng)服務(wù)介紹中國信息安全測(cè)評(píng)中心2008年11月-2-主要內(nèi)容中國信息安全測(cè)評(píng)中心簡(jiǎn)介中國信息安全測(cè)評(píng)中心資質(zhì)國家信息安全測(cè)評(píng)體系信息安全保障服務(wù)研究與實(shí)踐-3-中國信息安全測(cè)評(píng)中心簡(jiǎn)介中國信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心是經(jīng)中央批準(zhǔn)成立的、代表國家專門從事信息技術(shù)安全測(cè)試和風(fēng)險(xiǎn)評(píng)估的權(quán)威職能機(jī)構(gòu)。測(cè)評(píng)中心是國家信息安全保障體系中的重要基礎(chǔ)設(shè)施之一，在國家專項(xiàng)投入的支持下，擁有國內(nèi)一流的信息安全漏洞分析資源和測(cè)試評(píng)估技術(shù)裝備；建有漏洞基礎(chǔ)研究、應(yīng)用軟件安全、產(chǎn)品安全檢測(cè)、系統(tǒng)隱患分析和測(cè)評(píng)裝備研發(fā)等多個(gè)專業(yè)性技術(shù)實(shí)驗(yàn)室；具有專門面向黨政機(jī)關(guān)、基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)開展風(fēng)險(xiǎn)評(píng)估的國家?？仃?duì)伍。-4-中心標(biāo)志中國信息安全測(cè)評(píng)中心標(biāo)志英文名稱為：ChinaInformationTechnologySecurityEvaluationCenter簡(jiǎn)稱：CNITSEC。-5-中心的籌備與建立中國信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心籌建于1997年1998年7月以“中國互聯(lián)網(wǎng)絡(luò)安全產(chǎn)品測(cè)評(píng)認(rèn)證中心”的名稱試運(yùn)行1998年10月經(jīng)國家質(zhì)量技術(shù)監(jiān)督局授權(quán)成立了“中國國家信息安全測(cè)評(píng)認(rèn)證中心”2001年5月，中編辦字[2001]51號(hào)文件正式批準(zhǔn)了認(rèn)證中心的職能任務(wù)和機(jī)構(gòu)編制，將認(rèn)證中心正式定名為“中國信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心”2007年，經(jīng)中央批準(zhǔn)，增加漏洞分析和風(fēng)險(xiǎn)評(píng)估職能，更名為“中國信息安全測(cè)評(píng)中心”，成為國家信息安全?？仃?duì)伍。

-6-胡錦濤同志批示：

信息安全事關(guān)國家安全，必須予以高度重視。

在2000年3月29日的信息網(wǎng)絡(luò)安全協(xié)調(diào)會(huì)議上又強(qiáng)調(diào)“要建設(shè)好信息安全測(cè)評(píng)認(rèn)證中心”國家領(lǐng)導(dǎo)批示-7-2006年10月25日國家主席胡錦濤同志再次批示：加強(qiáng)測(cè)評(píng)中心的建設(shè)，明確職責(zé)，發(fā)揮其作用，以排除隱患和漏洞。國家領(lǐng)導(dǎo)批示-8-測(cè)評(píng)服務(wù)范圍依據(jù)中央授權(quán)，測(cè)評(píng)中心的主要職能包括：；信息安全漏洞分析；信息安全風(fēng)險(xiǎn)評(píng)估；信息技術(shù)產(chǎn)品、信息系統(tǒng)和工程安全測(cè)試與評(píng)估；信息安全服務(wù)和信息安全人員資質(zhì)測(cè)評(píng)；信息安全技術(shù)咨詢、工程監(jiān)理與開發(fā)服務(wù)。-9-序號(hào)服務(wù)內(nèi)容信息技術(shù)安全性測(cè)評(píng)認(rèn)證測(cè)評(píng)分級(jí)測(cè)評(píng)自主原創(chuàng)證明源代碼安全性測(cè)試選型測(cè)試定制測(cè)試信息系統(tǒng)安全性測(cè)評(píng)風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估網(wǎng)銀評(píng)估等級(jí)保護(hù)測(cè)評(píng)

系統(tǒng)測(cè)評(píng)系統(tǒng)滲透性測(cè)試信息安全服務(wù)資質(zhì)認(rèn)定信息安全工程服務(wù)資質(zhì)信息安全災(zāi)備服務(wù)資質(zhì)信息安全運(yùn)營服務(wù)資質(zhì)注冊(cè)信息安全人員認(rèn)定注冊(cè)信息安全專業(yè)人員資質(zhì)注冊(cè)信息安全員資質(zhì)信息安全咨詢與監(jiān)理信息系統(tǒng)安全工程監(jiān)理涉密信息系統(tǒng)安全工程監(jiān)理信息安全管理體系咨詢信息安全保障體系規(guī)劃-10-

信息安全產(chǎn)品認(rèn)證（共667個(gè)）629款產(chǎn)品通過型號(hào)認(rèn)證16款產(chǎn)品通過EAL3級(jí)認(rèn)證22款產(chǎn)品通過EAL4/EAL4+級(jí)認(rèn)證信息安全服務(wù)資質(zhì)認(rèn)證（共124家）139家信息安全服務(wù)商通過信息安全服務(wù)資質(zhì)一級(jí)（安全工程類）認(rèn)證12家信息安全服務(wù)商通過信息安全服務(wù)資質(zhì)二級(jí)（安全工程類）認(rèn)證注冊(cè)信息安全人員認(rèn)證（共2050人）約2050余人通過注冊(cè)信息安全專業(yè)人員（CISE/CISO/CISA）認(rèn)證信息系統(tǒng)安全測(cè)評(píng)與認(rèn)證（共141項(xiàng)）國內(nèi)近120個(gè)信息系統(tǒng)通過信息系統(tǒng)安全測(cè)評(píng)，其中19個(gè)系統(tǒng)達(dá)到信息系統(tǒng)安全保障能力級(jí)一級(jí)6個(gè)系統(tǒng)達(dá)到信息系統(tǒng)安全保障能力級(jí)二級(jí)以上數(shù)字截至2008年7月-11-信息安全領(lǐng)域研究

技術(shù)研究：中心的科研隊(duì)伍一直致力于信息安全領(lǐng)域尤其是信息安全測(cè)評(píng)技術(shù)領(lǐng)域的深入研究。自成立至今，已承擔(dān)了國家“863”計(jì)劃、國家“973”計(jì)劃、國家自然科學(xué)基金委員會(huì)、科技部、國家發(fā)展和改革委員會(huì)等多個(gè)國家重點(diǎn)科研項(xiàng)目。其中《國家信息安全發(fā)展戰(zhàn)略研究》、《系統(tǒng)安全風(fēng)險(xiǎn)分析和評(píng)估方法研究》等國家“863”計(jì)劃課題受到國務(wù)院信息化工作辦公室等指導(dǎo)單位的高度贊揚(yáng)。-12-信息安全領(lǐng)域研究標(biāo)準(zhǔn)制定：中心組織并參與了包括國家標(biāo)準(zhǔn)GB/T18336-2001《信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則》、《信息安全保障等級(jí)評(píng)估框架》、《電子政務(wù)信息系統(tǒng)安全保障評(píng)估準(zhǔn)則》、《網(wǎng)上銀行系統(tǒng)安全保障要求》、《網(wǎng)上證券委托系統(tǒng)安全保障要求》、《應(yīng)用級(jí)防火墻安全技術(shù)要求》、《信息安全服務(wù)評(píng)價(jià)準(zhǔn)則》、《信息安全工程質(zhì)量管理要求》、《電信智能卡安全技術(shù)要求》等在內(nèi)的多個(gè)信息安全測(cè)評(píng)標(biāo)準(zhǔn)的編制工作。-13-中心出版物

編寫并出版了《信息安全理論與技術(shù)》、《信息安全工程與管理》、《信息安全標(biāo)準(zhǔn)與法律法規(guī)》，國家注冊(cè)信息安全專業(yè)人員資質(zhì)認(rèn)證選用了該叢書作為參考教材。-14-中心出版物作為國家測(cè)評(píng)認(rèn)證服務(wù)職能的一個(gè)重要體現(xiàn)，中心每年都出版《信息安全產(chǎn)品政府采購指南》，該指南現(xiàn)已廣泛應(yīng)用于國家各級(jí)政府部門及重要行業(yè)單位的信息安全采購工作中。-15-中心出版物從2003年開始，中心以雙月刊形式推出《國家信息安全測(cè)評(píng)認(rèn)證》雜志，為業(yè)界提供了一個(gè)信息安全技術(shù)交流平臺(tái)。-16-組織編寫了《信息安全國際視野叢書》

《信息安全保障的手段和工具-俄羅斯信息安全產(chǎn)業(yè)情況（上、下冊(cè)）》《關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)-十四國安全保護(hù)政策陳述和分析》《信息安全的科技支撐-美國信息安全產(chǎn)業(yè)研究》《信息時(shí)代的國家安全防護(hù)網(wǎng)-美國訪客系統(tǒng)》《網(wǎng)絡(luò)時(shí)代的安全治理-美國信息安全管理體制研究》編委會(huì)顧問包括（按姓氏筆畫排列）：曲維枝、何德全、周仲義、沈昌祥、蔡吉人、王渝次等-17-國際交流

中心自成立以來，一直擔(dān)負(fù)著國家賦予的與世界各國相應(yīng)測(cè)評(píng)認(rèn)證機(jī)構(gòu)進(jìn)行國際交流與合作的職責(zé)。目前，中心已代表我國參加第一屆（美國）、第二屆（英國）至第八屆“信息安全測(cè)評(píng)認(rèn)證標(biāo)準(zhǔn)與互認(rèn)國際會(huì)議”。與美國、俄羅斯、英國、法國、德國、新加坡、日本等國家開展信息安全測(cè)試評(píng)估技術(shù)的交流、講學(xué)等技術(shù)交流活動(dòng)。-18-國際交流2003年2月，中國信息安全測(cè)評(píng)中心受國家發(fā)展和改革委員會(huì)委托，代表中國政府與美國微軟公司簽署了政府安全計(jì)劃（GSP）源代碼協(xié)議，并于2006年2月將該協(xié)議續(xù)簽。-19-主要內(nèi)容中國信息安全測(cè)評(píng)中心簡(jiǎn)介中國信息安全測(cè)評(píng)中心資質(zhì)國家信息安全測(cè)評(píng)體系信息安全保障服務(wù)研究與實(shí)踐-20-認(rèn)證中心的資質(zhì)

中國信息安全測(cè)評(píng)中心——是正局級(jí)事業(yè)單位，隸屬于國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局；其職能任務(wù)和機(jī)構(gòu)編制是經(jīng)中央編制委員會(huì)正式批準(zhǔn)的；中國信息安全測(cè)評(píng)中心及其所屬的兩個(gè)測(cè)評(píng)實(shí)驗(yàn)室均已獲得了國家相關(guān)機(jī)構(gòu)的認(rèn)可證書，其服務(wù)范圍與測(cè)評(píng)技術(shù)能力經(jīng)過國家嚴(yán)格審查與認(rèn)可-21-《中國實(shí)驗(yàn)室國家認(rèn)可委員會(huì)認(rèn)可證書》（1）

中國信息安全測(cè)評(píng)中心信息安全實(shí)驗(yàn)室，獲得中國實(shí)驗(yàn)室國家認(rèn)可委員會(huì)頒發(fā)的《中國實(shí)驗(yàn)室國家認(rèn)可委員會(huì)認(rèn)可證書》-22-《中國實(shí)驗(yàn)室國家認(rèn)可委員會(huì)認(rèn)可證書》（2）

中國信息安全測(cè)評(píng)中心系統(tǒng)工程實(shí)驗(yàn)室，獲得中國實(shí)驗(yàn)室國家認(rèn)可委員會(huì)頒發(fā)的《中國實(shí)驗(yàn)室國家認(rèn)可委員會(huì)認(rèn)可證書》-23-《涉及國家秘密的計(jì)算機(jī)信息系統(tǒng)集成資質(zhì)證書—工程監(jiān)理》

2007年9月中國信息安全測(cè)評(píng)中心獲得國家保密局頒發(fā)的涉及國家秘密的計(jì)算機(jī)信息系統(tǒng)監(jiān)理資質(zhì)。-24-主要內(nèi)容中國信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心簡(jiǎn)介中國信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心資質(zhì)國家信息安全測(cè)評(píng)認(rèn)證體系信息安全保障服務(wù)研究與實(shí)踐-25-國家信息安全測(cè)評(píng)認(rèn)證體系為適應(yīng)全球經(jīng)濟(jì)一體化的發(fā)展趨勢(shì)和我國加入WTO的客觀要求，我國于1997年依循國際慣例開始啟動(dòng)國家信息安全測(cè)評(píng)及認(rèn)證體系籌建工作。-26-國家信息安全測(cè)評(píng)認(rèn)證體系計(jì)算機(jī)測(cè)評(píng)中心上海測(cè)評(píng)中心東北測(cè)評(píng)中心華中測(cè)評(píng)中心深圳測(cè)評(píng)中心西南測(cè)評(píng)中心武漢互操作測(cè)評(píng)中心身份認(rèn)證測(cè)評(píng)中心云南測(cè)評(píng)中心重慶測(cè)評(píng)中心西北測(cè)評(píng)中心河南測(cè)評(píng)中心山東測(cè)評(píng)中心通訊安全測(cè)評(píng)中心-27-主要內(nèi)容中國信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心簡(jiǎn)介中國信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心資質(zhì)國家信息安全測(cè)評(píng)認(rèn)證體系信息安全保障服務(wù)研究與實(shí)踐-28-信息安全保障服務(wù)中國信息安全測(cè)評(píng)中心自成立至今，一貫致力于國家信息安全保障體系的建設(shè)工作，依托測(cè)評(píng)服務(wù)平臺(tái)，整合各類資源，為各政府機(jī)構(gòu)、社會(huì)用戶提供多方面、多角度、多層次的信息安全服務(wù)，為國家的信息安全保障體系建設(shè)提供有力的技術(shù)支持。測(cè)評(píng)中心曾先后參與國家稅務(wù)總局、國家財(cái)政部、最高人民檢察院、、國家鐵道部中國人民銀行、中國證監(jiān)會(huì)、中國民航、國家廣電總局等多家單位的網(wǎng)絡(luò)信息系統(tǒng)安全建設(shè)工作，在總體安全方案制定、安全咨詢顧問、安全工程項(xiàng)目監(jiān)理、信息系統(tǒng)安全性測(cè)試評(píng)估等方面為這些用戶提供了專業(yè)服務(wù)。-29-專業(yè)測(cè)評(píng)技術(shù)服務(wù)隊(duì)伍

中國信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心擁有一支高素質(zhì)的測(cè)評(píng)隊(duì)伍。所有測(cè)試評(píng)估人員都經(jīng)過嚴(yán)格的專業(yè)培訓(xùn)并通過“注冊(cè)信息安全專業(yè)人員（CISP）”的國家資質(zhì)考核，其扎實(shí)的專業(yè)知識(shí)、技術(shù)和技能，是確保測(cè)評(píng)工作質(zhì)量的重要保證，曾出色完成多個(gè)政府機(jī)構(gòu)、銀行、證券、電信等組織機(jī)構(gòu)的信息安全測(cè)評(píng)項(xiàng)目，具有豐富的測(cè)評(píng)經(jīng)驗(yàn)。同時(shí)中心還擁有一支強(qiáng)大的專家隊(duì)伍，包括中國工程院院士、研究員、博士、歸國留學(xué)人員等來自信息安全各領(lǐng)域的專家學(xué)者。對(duì)中心的測(cè)評(píng)技術(shù)研究、測(cè)評(píng)標(biāo)準(zhǔn)制定、測(cè)評(píng)工作評(píng)審以及大型信息安全測(cè)評(píng)項(xiàng)目等進(jìn)行專業(yè)指導(dǎo)和顧問-30-信息安全風(fēng)險(xiǎn)評(píng)估

2005年中心受國務(wù)院信息化工作辦公室委托，承擔(dān)了國家稅務(wù)系統(tǒng)風(fēng)險(xiǎn)評(píng)估以及云南省政府辦公網(wǎng)絡(luò)系統(tǒng)風(fēng)險(xiǎn)評(píng)估的試點(diǎn)工作。并參加了國家信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估實(shí)施指南、實(shí)施標(biāo)準(zhǔn)、評(píng)估方法等系列標(biāo)準(zhǔn)的研究與開發(fā)工作。2006年7月在國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組辦公室下發(fā)的信安通[2006]16號(hào)《關(guān)于對(duì)國家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)開展安全檢查的通知》中，中心作為國家專門隊(duì)伍承擔(dān)了鐵道部鐵路貨票信息管理系統(tǒng)和中國民航離港信息系統(tǒng)的安全抽查評(píng)估任務(wù)。其評(píng)估方法和結(jié)果將為國信辦落實(shí)對(duì)國家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)開展安全檢查工作提供重要依據(jù)。-31-2006年8月在中國證監(jiān)會(huì)組織的證券期貨業(yè)的信息安全風(fēng)險(xiǎn)評(píng)估試點(diǎn)工作中，中心積極參與了制定《證券行業(yè)信息安全風(fēng)險(xiǎn)評(píng)估工作指南》的編寫，并承擔(dān)證券行業(yè)試點(diǎn)國泰君安證券有限公司集中交易系統(tǒng)風(fēng)險(xiǎn)評(píng)估的項(xiàng)目實(shí)施，為探索證券期貨業(yè)信息系統(tǒng)安全的適用性、合理性，積累了寶貴經(jīng)驗(yàn)。2007年7月中國信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心在國務(wù)院信息化領(lǐng)導(dǎo)小組工作辦公室組織的2007年度國家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)檢查評(píng)估工作中，作為國家專門隊(duì)伍承擔(dān)了：《深圳國稅信息系統(tǒng)安全檢查評(píng)估》、《中國證券登記結(jié)算公司信息系統(tǒng)安全檢查評(píng)估》。信息安全風(fēng)險(xiǎn)評(píng)估-32-2008年國家部委級(jí)安全服務(wù)項(xiàng)目1.國家稅務(wù)總局委托我中心開展稅務(wù)信息系統(tǒng)2008年度日常信息安全及特殊時(shí)期（兩會(huì)、奧運(yùn)會(huì)、法定長(zhǎng)假）安全服務(wù)，查找漏洞排除隱患，制訂漏洞修補(bǔ)建議，以確保稅務(wù)信息系統(tǒng)的正常穩(wěn)定運(yùn)行。

2.2008年3月分別承擔(dān)了國家稅務(wù)總局應(yīng)用安全咨詢與風(fēng)險(xiǎn)評(píng)估項(xiàng)目、總局風(fēng)險(xiǎn)評(píng)估項(xiàng)目、稅務(wù)系統(tǒng)安全檢查評(píng)估等安全服務(wù)項(xiàng)目。

3.2008國家財(cái)政部涉密網(wǎng)絡(luò)整合項(xiàng)目安全工程咨詢與監(jiān)理。-33-黨政系統(tǒng)最高人民檢察院國家發(fā)展與改革委員會(huì)國家統(tǒng)計(jì)局國家安全部全國政協(xié)國家稅務(wù)總局國家財(cái)政部海關(guān)總署國家新聞出版總署國家鐵道部建設(shè)部國家知識(shí)產(chǎn)權(quán)局科技部中共中央對(duì)外聯(lián)絡(luò)部國家外匯管理局證監(jiān)會(huì)江蘇省政府辦公廳……-34-關(guān)鍵基礎(chǔ)設(shè)施北京第29屆奧運(yùn)會(huì)組織委員會(huì)中國金融認(rèn)證中心(CFCA)中國互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)鐵道部全國客票預(yù)訂與發(fā)售系統(tǒng)鐵道部鐵路貨票信息系統(tǒng)中國民航離港信息系統(tǒng)中國電信CA系統(tǒng)中國網(wǎng)通中國聯(lián)通中國移動(dòng)國家電力中國北方……-35-銀行系統(tǒng)中國人民銀行中國建設(shè)銀行中國工商銀行中國招商銀行中國光大銀行中國民生銀行興業(yè)銀行交通銀行南京商業(yè)銀行北京市農(nóng)村商業(yè)銀行廣東省南海農(nóng)聯(lián)社好易聯(lián)支付系統(tǒng)銀聯(lián)支付系統(tǒng)寧波市商業(yè)銀行溫州市商業(yè)銀行貴陽市商業(yè)銀行重慶市商業(yè)銀行昆明市商業(yè)銀行長(zhǎng)沙市商業(yè)銀行浙商銀行……-36-證券、保險(xiǎn)系統(tǒng)國泰君安證券中國銀河證券長(zhǎng)城證券上海財(cái)政證券東方證券華夏證券中信證券中國人民財(cái)產(chǎn)保險(xiǎn)公司新華人壽保險(xiǎn)公司……對(duì)風(fēng)險(xiǎn)評(píng)估的理解與分析國家政策27號(hào)文件提出了明確要求：

要重視信息安全風(fēng)險(xiǎn)評(píng)估工作，對(duì)網(wǎng)絡(luò)與信息系統(tǒng)安全的潛在威脅、薄弱環(huán)節(jié)、防護(hù)措施等進(jìn)行分析評(píng)估，綜合考慮網(wǎng)絡(luò)與信息系統(tǒng)的重要性、涉密程度和面臨的信息安全風(fēng)險(xiǎn)等因素，進(jìn)行相應(yīng)等級(jí)的安全建設(shè)和管理2003年，國務(wù)院信息辦成立風(fēng)險(xiǎn)評(píng)估課題組，開展有關(guān)調(diào)研工作。2005年在銀行、稅務(wù)、電力等行業(yè)和部門以及北京、上海、黑龍江、云南等地方開展試點(diǎn)，取得了預(yù)期效果。2005年12月，國家網(wǎng)絡(luò)與信息安全系統(tǒng)小組第五次會(huì)議審議通過了《關(guān)于開展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見》，提出了風(fēng)險(xiǎn)評(píng)估的原則、工作要求和工作部署。2006年3月，國務(wù)院信息辦分別在北京和昆明召開了風(fēng)險(xiǎn)評(píng)估文件宣貫會(huì)，并印發(fā)了《信息安全風(fēng)險(xiǎn)評(píng)估指南》。國家發(fā)展和改革委員會(huì)令[2007]第55號(hào)項(xiàng)目建設(shè)單位或其委托的專業(yè)機(jī)構(gòu)應(yīng)按照風(fēng)險(xiǎn)評(píng)估的相關(guān)規(guī)定，對(duì)建成項(xiàng)目進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估，檢驗(yàn)其網(wǎng)絡(luò)和信息系統(tǒng)對(duì)安全環(huán)境變化的適應(yīng)性及安全措施的有效性，保障信息安全目標(biāo)的實(shí)現(xiàn)2008年8月6日國家發(fā)展和改革委員會(huì)、公安部、國家保密局《關(guān)于加強(qiáng)國家電子政務(wù)工程建設(shè)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估工作的通知》發(fā)改高技[2008]2071號(hào)：國家電子政務(wù)網(wǎng)絡(luò)、重點(diǎn)業(yè)務(wù)信息系統(tǒng)、基礎(chǔ)信息庫以及相關(guān)支撐體系等國家電子政務(wù)工程建設(shè)項(xiàng)目，應(yīng)開展信息安全風(fēng)險(xiǎn)評(píng)估工作；非涉密信息系統(tǒng)的信息安全風(fēng)險(xiǎn)評(píng)估，有國家信息技術(shù)安全研究中心、中國信息安全測(cè)評(píng)中心、公安部信息安全等級(jí)保護(hù)評(píng)估中心等三家專業(yè)測(cè)評(píng)機(jī)構(gòu)承擔(dān)國家對(duì)風(fēng)險(xiǎn)評(píng)估用戶范圍確定重點(diǎn)部門、重點(diǎn)行業(yè)（電信、廣電、銀行、證券、保險(xiǎn)、稅務(wù)、海關(guān)、鐵路、民航、電力）的網(wǎng)絡(luò)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估工作提出了明確要求。掌握信息系統(tǒng)安全現(xiàn)狀；獲得信息安全評(píng)估工作的經(jīng)驗(yàn)；提高組織管理層和技術(shù)人員的技術(shù)風(fēng)險(xiǎn)意識(shí)；明確今后信息技術(shù)安全工作的方向；為行業(yè)信息技術(shù)安全工作做出了有益的探索。40安全風(fēng)險(xiǎn)評(píng)估對(duì)組織的意義《國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組關(guān)于開展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見》《GB/T20984-2007信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》《GB/T18336-2001信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則》《GB/T20274-2006信息安全技術(shù)信息系統(tǒng)安全保障評(píng)估框架》《電子政務(wù)信息系統(tǒng)安全保障要求》技術(shù)依據(jù)信息系統(tǒng)保障風(fēng)險(xiǎn)功能、機(jī)制架構(gòu)、流程漏洞威脅評(píng)估概念及關(guān)系序號(hào)工作方式描述1內(nèi)部溝通指評(píng)估小組內(nèi)部，或協(xié)調(diào)員與被評(píng)估組織內(nèi)部、或評(píng)估小組和協(xié)調(diào)員之間的溝通活動(dòng)。2現(xiàn)場(chǎng)勘查現(xiàn)場(chǎng)勘測(cè)是指在項(xiàng)目實(shí)施過程中通過現(xiàn)場(chǎng)評(píng)估人員對(duì)實(shí)際環(huán)境的觀察的方式完成檢查評(píng)估的某些項(xiàng)工作，比如物理環(huán)境與存儲(chǔ)介質(zhì)情況的評(píng)估。3訪談評(píng)估小組與被評(píng)估組織內(nèi)有關(guān)的管理、技術(shù)和一般員工進(jìn)行逐個(gè)溝通。根據(jù)對(duì)評(píng)估人員所提問題的回答，評(píng)估人員為評(píng)估獲得相應(yīng)信息。4研討會(huì)評(píng)估小組與被評(píng)估組織的若干人員進(jìn)行交流，從而獲得相關(guān)信息或就某些問題達(dá)成共識(shí)。5文檔評(píng)估文檔評(píng)估是整個(gè)檢查評(píng)估過程最初的階段，即在進(jìn)行現(xiàn)場(chǎng)實(shí)施檢查評(píng)估前靜態(tài)評(píng)估階段主要的工作內(nèi)容，對(duì)用戶提交的各類文檔進(jìn)行審閱。6工具檢測(cè)評(píng)估人員通過自動(dòng)化的工具檢測(cè)被評(píng)估對(duì)象，根據(jù)檢測(cè)的結(jié)果，評(píng)估人員為評(píng)估獲得相應(yīng)信息。7手工檢測(cè)評(píng)估人員通過手工方式讀取被評(píng)估對(duì)象的環(huán)境狀況、配置情況，從而采集被評(píng)估對(duì)象的信息。風(fēng)險(xiǎn)評(píng)估方式國內(nèi)外安全標(biāo)準(zhǔn)行業(yè)安全規(guī)定用戶資料技術(shù)管理工程-=風(fēng)險(xiǎn)級(jí)別安全要求安全現(xiàn)狀差距分析法階段任務(wù)工作日啟動(dòng)準(zhǔn)備階段資料準(zhǔn)備、調(diào)研、評(píng)估培訓(xùn)、編寫評(píng)估8現(xiàn)場(chǎng)測(cè)試階段安全技術(shù)測(cè)試和安全管理核查7風(fēng)險(xiǎn)分析階段分析現(xiàn)場(chǎng)檢測(cè)結(jié)果，編制系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估報(bào)告7安全建議階段根據(jù)用戶需求編寫安全改進(jìn)建議書5風(fēng)險(xiǎn)評(píng)估時(shí)間進(jìn)度安排網(wǎng)絡(luò)基礎(chǔ)設(shè)施1網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)的安全性評(píng)估；所使用的網(wǎng)絡(luò)協(xié)議的安全性評(píng)估；網(wǎng)絡(luò)層次設(shè)施設(shè)備的安全配置檢查與評(píng)估；網(wǎng)絡(luò)層次安全脆弱性檢測(cè)與評(píng)估；網(wǎng)絡(luò)層次的滲透測(cè)試；網(wǎng)絡(luò)層次數(shù)據(jù)流檢測(cè)與評(píng)估業(yè)務(wù)支撐平臺(tái)2應(yīng)用系統(tǒng)安全3業(yè)務(wù)應(yīng)用架構(gòu)設(shè)計(jì)、應(yīng)用協(xié)議選用的安全評(píng)估；業(yè)務(wù)應(yīng)用程序安全功能設(shè)計(jì)、安全功能實(shí)現(xiàn)的測(cè)試驗(yàn)證評(píng)估；業(yè)務(wù)信息流設(shè)計(jì)、業(yè)務(wù)信息流檢測(cè)的安全評(píng)估；業(yè)務(wù)應(yīng)用程序的安全配置核查評(píng)估與應(yīng)用程序滲透測(cè)試；安全管理評(píng)估4安全管理基礎(chǔ)域安全管理核心域安全管理重要過程域安全管理生命周期域網(wǎng)絡(luò)設(shè)備安全設(shè)備服務(wù)器設(shè)備各種WEB服務(wù)器系統(tǒng)、中間件系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、企業(yè)級(jí)防病毒系統(tǒng)等；業(yè)務(wù)支撐平臺(tái)系統(tǒng)的安全脆弱性檢測(cè)與評(píng)估；業(yè)務(wù)支撐平臺(tái)系統(tǒng)的滲透測(cè)試評(píng)估內(nèi)容安全管理審核參考安全管理核心域安全策略風(fēng)險(xiǎn)管理安全管理基礎(chǔ)域安全組織體系人事安全資產(chǎn)管理物理和環(huán)境安全符合性管理保障過程域應(yīng)急響應(yīng)業(yè)務(wù)持續(xù)性生命周期管理域信息安全規(guī)劃系統(tǒng)開發(fā)管理運(yùn)行管理安全技術(shù)評(píng)估信息系統(tǒng)安全技術(shù)分析檢測(cè)業(yè)務(wù)系統(tǒng)安全功能驗(yàn)證測(cè)試內(nèi)部安全脆弱性檢測(cè)系統(tǒng)體系架構(gòu)安全性分析安全滲透性測(cè)試安全配置檢查業(yè)務(wù)應(yīng)用系統(tǒng)應(yīng)用支撐平臺(tái)信息系統(tǒng)網(wǎng)絡(luò)基礎(chǔ)設(shè)施黑盒測(cè)試灰盒測(cè)試整體分析評(píng)估內(nèi)容滲透測(cè)試方式滲透測(cè)試內(nèi)部滲透外部滲透應(yīng)用層主機(jī)層網(wǎng)絡(luò)層從外到內(nèi)從上到下檢測(cè)系統(tǒng)抗外部攻擊的能力。評(píng)估內(nèi)容等級(jí)標(biāo)識(shí)描述5極高一旦發(fā)生將產(chǎn)生非常嚴(yán)重的經(jīng)濟(jì)或社會(huì)影響，如組織信譽(yù)嚴(yán)重破壞、嚴(yán)重影響組織的正常經(jīng)營，經(jīng)濟(jì)損失重大、社會(huì)影響惡劣4高一旦發(fā)生將產(chǎn)生較大的經(jīng)濟(jì)或社會(huì)影響，在一定范圍內(nèi)給組織的經(jīng)營和組織信譽(yù)造成損害3中一旦發(fā)生會(huì)造成一定的經(jīng)濟(jì)、社會(huì)或生產(chǎn)經(jīng)營影響，但影響面和影響程度不大2低一旦發(fā)生造成的影響程度較低，一般僅限于組織內(nèi)部，通過一定手段很快能解決1很低一旦發(fā)生造成的影響幾乎不存在，通過簡(jiǎn)單的措施就能彌補(bǔ)風(fēng)險(xiǎn)等級(jí)風(fēng)險(xiǎn)評(píng)估項(xiàng)目流程風(fēng)險(xiǎn)評(píng)估流程資料準(zhǔn)備：在啟動(dòng)準(zhǔn)備階段，根據(jù)《系統(tǒng)風(fēng)險(xiǎn)評(píng)估文檔準(zhǔn)備說明》準(zhǔn)備資料：前期調(diào)研：組織評(píng)估工作組成員對(duì)確定的實(shí)施范圍進(jìn)行走訪。通過前期快速的調(diào)研，評(píng)估工作組可以基本掌握評(píng)估范圍內(nèi)信息系統(tǒng)和人員的實(shí)際情況，并與配合人員進(jìn)行初步的溝通，確定評(píng)估實(shí)施中必須具備的技術(shù)工具和手段，以及基本的時(shí)間安排和必要的工作準(zhǔn)備。評(píng)估培訓(xùn)：評(píng)估實(shí)施前對(duì)被評(píng)估單位工作人員進(jìn)行的評(píng)估基本概念、實(shí)施過程等相關(guān)基礎(chǔ)知識(shí)的宣貫和闡明的過程。通過信息安全風(fēng)險(xiǎn)評(píng)估培訓(xùn)，試點(diǎn)單位相關(guān)的人員初步掌握了評(píng)估的基本知識(shí)，明確了工作的目的、意義和工作的重點(diǎn)，為試點(diǎn)工作的順利開展打下了良好的基礎(chǔ)。風(fēng)險(xiǎn)控制方案：評(píng)估工作本身不可避免地會(huì)帶來各種風(fēng)險(xiǎn)。實(shí)施風(fēng)險(xiǎn)控制主要包括實(shí)施風(fēng)險(xiǎn)分析和根據(jù)具體評(píng)估范圍制定的風(fēng)險(xiǎn)控制方案。評(píng)估項(xiàng)目管理計(jì)劃：根據(jù)評(píng)估項(xiàng)目的實(shí)施特性，制定了信息安全風(fēng)險(xiǎn)評(píng)估項(xiàng)目控制與管理計(jì)劃啟動(dòng)準(zhǔn)備階段資產(chǎn)評(píng)估：資產(chǎn)評(píng)估是確定資產(chǎn)在信息安全屬性（機(jī)密性、完整性、可用性等）缺失時(shí)，對(duì)信息系統(tǒng)造成的影響的過程。在實(shí)際的評(píng)估中，資產(chǎn)評(píng)估包含：資產(chǎn)識(shí)別、資產(chǎn)安全要求識(shí)別、資產(chǎn)賦值威脅評(píng)估：威脅評(píng)估是通過技術(shù)手段、統(tǒng)計(jì)數(shù)據(jù)和經(jīng)驗(yàn)判斷來確定信息系統(tǒng)面臨的威脅的過程。威脅評(píng)估中的主要工作包括兩個(gè)方面，一是要根據(jù)特定資產(chǎn)運(yùn)行環(huán)境來確定其所面臨的威脅來源，另一方面要確定這些威脅的嚴(yán)重程度和發(fā)生的頻率。每個(gè)資產(chǎn)由于所處的環(huán)境不同，面臨的威脅也不盡相同，因此對(duì)評(píng)估范圍內(nèi)的資產(chǎn)需要根據(jù)資產(chǎn)評(píng)估的分類結(jié)果