信息安全風險評估國家標準編制及內(nèi)容介紹

信息安全風險評估國家標準編制及內(nèi)容介紹1第一頁，共六十二頁。主要內(nèi)容一、標準的編制過程二、標準的主要內(nèi)容三、下一步工作的幾點思考2第二頁，共六十二頁。主要內(nèi)容一、標準的編制過程二、標準的主要內(nèi)容三、下一步工作的幾點思考3第三頁，共六十二頁。一、標準的編制過程1、前期研究準備2、標準草案編制3、試點實踐檢驗4、專家評審論證4第四頁，共六十二頁。一、標準的編制過程1、前期研究準備2、標準草案編制3、試點實踐檢驗4、專家評審論證5第五頁，共六十二頁。

1、前期研究準備

2003年7月,中辦發(fā)[2003]27號文件對開展信息安全風險評估工作提出了明確的要求。國信辦委托國家信息中心牽頭，成立了國家信息安全風險評估課題組，對信息安全風險評估相關(guān)工作展開調(diào)查研究。課題組利用半年多的時間，對我國信息安全風險評估現(xiàn)狀進行了深入調(diào)查，掌握了第一手情況；對國內(nèi)外相關(guān)領(lǐng)域的理論進行了學習、分析和研究，查閱了大量的相關(guān)資料，基本了解了此領(lǐng)域的國際前沿動態(tài)。這些都為標準編制工作奠定了良好的基礎(chǔ)。6第六頁，共六十二頁。

統(tǒng)一的風險評估技術(shù)標準是規(guī)范開展信息安全風險評估工作的必備條件。落實中辦發(fā)27號文件、全面推進我國的信息安全風險評估工作，首先就必須解決我國缺乏統(tǒng)一的風險評估技術(shù)標準的問題。為此，國信辦領(lǐng)導根據(jù)專家們的建議，決定著手開展信息安全風險評估國家標準的編制工作及相關(guān)實踐活動。旨在通過這項工作更好地加強國家基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)的風險評估及管理工作，使其流程更加科學、統(tǒng)一、規(guī)范、有效。7第七頁，共六十二頁。一、標準的編制過程1、前期研究準備2、標準草案編制3、試點實踐檢驗4、專家評審論證8第八頁，共六十二頁。

根據(jù)國信辦的指示和信安標委的具體要求，國家信息中心組織國家保密技術(shù)研究所、公安部三所、北京信息安全測評中心、上海市測評認證中心、信息安全國家重點實驗室以及BJCA、上海三零衛(wèi)士、聯(lián)想、天融信、啟明星辰、綠盟、科飛、凝瑞等國內(nèi)十幾家企事業(yè)單位于2004年3月29日正式啟動標準草案的編制工作。此后，中國信息安全產(chǎn)品測評認證中心、解放軍信息技術(shù)安全研究中心、航天部二院七O六所等單位也參與了標準的編制與起草。起草組在前期準備工作的基礎(chǔ)上，經(jīng)過多次研究探討，確定了編制標準應(yīng)遵循的原則:

2、標準草案編制9第九頁，共六十二頁。

1、符合我國現(xiàn)行的信息安全有關(guān)法律法規(guī)的要求，認真貫徹落實27號文件關(guān)于加強信息安全風險評估工作的精神；

2、立足于我國信息化建設(shè)實踐，積極借鑒國際先進標準的技術(shù)，提出符合我國基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)工程建設(shè)需求的風險評估規(guī)范；

3、針對網(wǎng)絡(luò)與信息系統(tǒng)的全生命周期，制訂適應(yīng)不同階段特點和要求的風險評估實施方法；

4、積極吸收信息安全有關(guān)主管部門和單位在等級保護、保密檢查和產(chǎn)品測評等工作的經(jīng)驗與成果；

5、標準文本體系結(jié)構(gòu)科學合理，表述清晰，具有可實現(xiàn)性和可操作性。

10第十頁，共六十二頁。

在標準編制的過程中，標準起草組多次與相關(guān)主管部門所屬機構(gòu)的專家代表就技術(shù)標準有關(guān)主體內(nèi)容進行會商；向相關(guān)單位發(fā)放標準文本，通過電子郵件等形式廣泛征求業(yè)界意見；召開標準討論會議三十幾次，共收集100多條修改意見。起草組逐一對修改意見進行研究，在充分吸納合理成份的基礎(chǔ)上，對《信息安全風險評估規(guī)范》等標準進行了較大幅度的修改，使標準的體系結(jié)構(gòu)更趨完善、合理。11第十一頁，共六十二頁。一、標準的制定過程1、前期研究準備2、標準草案編制3、試點實踐檢驗4、專家評審論證12第十二頁，共六十二頁。

3、試點實踐檢驗

2005年2月,根據(jù)國信辦[2005]4號和5號文件，關(guān)于在銀行、稅務(wù)、電力等部門和電子政務(wù)外網(wǎng)，以及北京、上海、黑龍江、云南等省市，開展信息安全風險評估試點工作的要求，標準起草組配合風險評估試點工作專家組開展了以下工作：

--為各試點單位提供標準草案文本和相關(guān)說明；

--在試點準備階段與各試點單位的技術(shù)骨干進行標準技術(shù)交流；

--根據(jù)標準草案文本涉及的關(guān)鍵技術(shù)，起草組成員選擇試點環(huán)節(jié)參與實際試點；

--在試點過程中，先后幾次召開標準研討會，征求各單位對標準的意見與建議。13第十三頁，共六十二頁。

整個試點工作歷時7個月，各試點單位對標準草案先后提出40多條補充修改意見，標準起草組根據(jù)試點結(jié)果先后進行了三次較大規(guī)模的修改。主要內(nèi)容包括：

--細化了資產(chǎn)的分類方法、脆弱性的識別要求，修改并細化了風險計算的方法；

--對自評估、檢查評估不同評估形式的內(nèi)容與實施的重點進行了區(qū)分；

--對風險評估的工具進行了梳理和區(qū)分，形成了現(xiàn)在的幾種類型；

--細化了生命周期不同階段風險評估的主要內(nèi)容。

試點實踐證明，試行標準基本滿足各試點單位評估工作的需求。14第十四頁，共六十二頁。一、標準的制定過程1、前期研究準備2、標準草案編制3、試點實踐檢驗4、專家評審論證15第十五頁，共六十二頁。

2005年9月16日，國家信息中心在北京組織召開了由周仲義院士主持的《信息安全風險評估指南（征求意見稿）》第一次專家評審會。

4、專家評審論證16第十六頁，共六十二頁。第一次專家評審會名單姓名單位職務(wù)/職稱周仲義中國工程院院士熊四皓國務(wù)院信息辦處長王娜國家發(fā)改委高科技司處長姚世權(quán)中國標準化協(xié)會研究員賈穎禾全國信息安全標準化技術(shù)委員會副秘書長/研究員崔書昆國家信息化專家咨詢委員會委員/研究員景乾元公安部十一局處長李建彬國稅總局信息中心副處長張宏偉黑龍江省信息產(chǎn)業(yè)廳處長姚麗旋上海市信息化管理委員會處長肖京華總參三部三局處長馮惠中國電子技術(shù)標準化研究所副主任/高工吳偉國家電網(wǎng)公司處長詹榜華北京市CA中心總經(jīng)理17第十七頁，共六十二頁。

2005年10月27日，國家信息中心在北京組織召開了信息安全風險評估國家標準征求意見稿的第二次專家評審會。18第十八頁，共六十二頁。第二次專家評審會名單姓名單位職務(wù)/職稱何義大全國信息安全標準化技術(shù)委員會副主任趙戰(zhàn)生國家信息化咨詢委員會研究員曲成義國家信息化咨詢委員會研究員馮登國信息安全863項目專家組組長研究員陳曉樺中國信息安全產(chǎn)品測評認證中心研究員崔書昆國家信息化咨詢委員會研究員景乾元公安部十一局處長肖京華解放軍信息安全測評中心處長賈穎禾全國信息安全標準化技術(shù)委員會副秘書長李守鵬中國信息安全產(chǎn)品測評認證中心副主任王同良中石油經(jīng)濟技術(shù)中心副主任江志強民航總局人事科技司處長謝小權(quán)航天科技集團706所副所長呂仲濤中國工商銀行總行信息科技部總工19第十九頁，共六十二頁。

與會專家認為標準起草組做了大量卓有成效的工作，標準的結(jié)構(gòu)合理、內(nèi)容完備、可操作性強，并充分考慮與信息安全等級保護相關(guān)標準相銜接。文本的編制符合國家標準的要求。同時，專家們也對完善標準提出了進一步的修改意見。20第二十頁，共六十二頁。

2005年12月14日，由安標委第五工作組主持召開了由沈昌祥院士為專家組組長的信息安全風險評估國家標準送審稿的專家評審會。21第二十一頁，共六十二頁。專家評審會名單

姓名單位職務(wù)/職稱沈昌祥海軍計算技術(shù)研究所院士吉增瑞公安部信息安全標委會委員研究員趙戰(zhàn)生國家信息化咨詢委員會研究員卿斯?jié)h中科院信息安全技術(shù)工程研究中心研究員杜虹國家保密技術(shù)研究所所長景乾元公安部十一局處長崔書昆國家信息化咨詢委員會研究員22第二十二頁，共六十二頁。

與會專家聽取了起草小組的編制說明及內(nèi)容介紹，審閱了相關(guān)文檔資料，經(jīng)質(zhì)詢和討論，一致認為：一、送審稿規(guī)范了風險評估的評估內(nèi)容與范圍、基本概念，明確了資產(chǎn)、威脅、脆弱性和安全風險等關(guān)鍵要素及其賦值原則和要求，提出了實施流程與操作步驟、評估規(guī)則與基本方法，并充分考慮與信息安全等級保護相關(guān)標準相銜接。二、送審稿的操作性較強，對開展風險評估工作具有指導作用，并在國務(wù)院信息辦組織的風險評估試點中得到了進一步的實踐驗證和充實完善。三、文本的編制符合國家標準GB1.1的要求。專家組認為送審稿達到國家標準送審稿的要求，同意通過評審。建議起草組根據(jù)專家意見盡快修改完善后申報。23第二十三頁，共六十二頁。

2006年３月６日和３月１６日，在國信辦進行的行業(yè)和省市的風險評估政策文件的兩次宣貫會上，信息安全風險評估征求意見稿以國信辦文件的形式下發(fā)，為各行業(yè)和省市開展風險評估提供技術(shù)依據(jù)。24第二十四頁，共六十二頁。

2006年4月18日，全國信息安全標準化技術(shù)委員（安標委）會第五工作組（WG5）在北京召開全體工作組成員標準投票會議，對信息安全風險評估國家標準送審稿進行工作組全體成員投票表決。與會的三十幾位專家聽取了標準起草組對《指南》的編制過程以及主要內(nèi)容的介紹，經(jīng)投票一致通過了標準的評審。25第二十五頁，共六十二頁。

2006年6月19日，全國信息安全標準化技術(shù)委員會秘書處在北京組織召開了信息安全風險評估標準送審稿的專家審查會，與會專家經(jīng)質(zhì)詢和討論，將標準正式命名為《信息安全技術(shù)

信息安全風險評估規(guī)范》，認為該標準達到國家標準送審稿的要求，同意通過評審。

會后，國家信息中心先后與各起草單位和有關(guān)專家就標準規(guī)范報批稿的修改進行了進一步的研討，并逐一落實了專家提出的意見。26第二十六頁，共六十二頁。

2006年7月19日，全國信息安全標準化委員會主任辦公會上討論通過了《信息安全技術(shù)

信息安全風險評估規(guī)范》(報批稿),目前已進入報批程序。27第二十七頁，共六十二頁。主要內(nèi)容一、標準的編制過程二、標準的主要內(nèi)容三、下一步工作的幾點思考28第二十八頁，共六十二頁。二、標準的主要內(nèi)容1、什么是風險評估2、為什么要做風險評估3、風險評估怎么做29第二十九頁，共六十二頁。二、標準的主要內(nèi)容1、什么是風險評估2、為什么要做風險評估3、風險評估怎么做30第三十頁，共六十二頁。1、什么是風險評估

信息安全風險人為或自然的威脅利用信息系統(tǒng)及其管理體系中存在的脆弱性導致安全事件的發(fā)生及其對組織造成的影響。

信息安全風險評估依據(jù)有關(guān)信息安全技術(shù)與管理標準，對信息系統(tǒng)及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行評價的過程。它要評估資產(chǎn)面臨的威脅以及威脅利用脆弱性導致安全事件的可能性，并結(jié)合安全事件所涉及的資產(chǎn)價值來判斷安全事件一旦發(fā)生對組織造成的影響。31第三十一頁，共六十二頁。風險評估要素關(guān)系圖

圖中方框部分的內(nèi)容為風險評估的基本要素;橢圓部分的內(nèi)容是與這些要素相關(guān)的屬性。風險評估圍繞著基本要素展開，同時需要充分考慮與基本要素相關(guān)的各類屬性。（1）業(yè)務(wù)戰(zhàn)略的實現(xiàn)對資產(chǎn)具有依賴性，依賴程度越高，要求其風險越??；（2）資產(chǎn)是有價值的，組織的業(yè)務(wù)戰(zhàn)略對資產(chǎn)的依賴程度越高，資產(chǎn)價值就越大；（3）風險是由威脅引發(fā)的，資產(chǎn)面臨的威脅越多則風險越大，并可能演變成安全事件；（4）資產(chǎn)的脆弱性可以暴露資產(chǎn)的價值，資產(chǎn)具有的弱點越多則風險越大；（5）脆弱性是未被滿足的安全需求，威脅利用脆弱性危害資產(chǎn)；（6）風險的存在及對風險的認識導出安全需求；（7）安全需求可通過安全措施得以滿足，需要結(jié)合資產(chǎn)價值考慮實施成本；（8）安全措施可抵御威脅，降低風險；（9）殘余風險是未被安全措施控制的風險。有些是安全措施不當或無效,需要加強才可控制的風險；而有些則是在綜合考慮了安全成本與效益后未去控制的風險；（10）殘余風險應(yīng)受到密切監(jiān)視，它可能會在將來誘發(fā)新的安全事件。32第三十二頁，共六十二頁。二、標準的主要內(nèi)容1、什么是風險評估2、為什么要做風險評估3、風險評估怎么做33第三十三頁，共六十二頁。2、為什么要做風險評估

安全源于風險。

在信息化建設(shè)中，建設(shè)與運營的網(wǎng)絡(luò)與信息系統(tǒng)由于可能存在的系統(tǒng)設(shè)計缺陷、隱含于軟硬件設(shè)備的缺陷、系統(tǒng)集成時帶來的缺陷，以及可能存在的某些管理薄弱環(huán)節(jié)，尤其當網(wǎng)絡(luò)與信息系統(tǒng)中擁有極為重要的信息資產(chǎn)時，都將使得面臨復雜環(huán)境的網(wǎng)絡(luò)與信息系統(tǒng)潛在著若干不同程度的安全風險。

34第三十四頁，共六十二頁。

風險評估可以不斷深入地發(fā)現(xiàn)系統(tǒng)建設(shè)中的安全隱患，采取或完善更加經(jīng)濟有效的安全保障措施，來消除安全建設(shè)中的盲目樂觀或盲目恐懼，提出有針對性的從實際出發(fā)的解決方法，提高系統(tǒng)安全的科學管理水平，進而全面提升網(wǎng)絡(luò)與信息系統(tǒng)的安全保障能力。

35第三十五頁，共六十二頁。

信息安全風險評估，是從風險管理角度，運用科學的方法和手段，系統(tǒng)地分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評估安全事件一旦發(fā)生可能造成的危害程度，提出有針對性的抵御威脅的防護對策和整改措施。并為防范和化解信息安全風險，或者將風險控制在可接受的水平，從而最大限度地保障網(wǎng)絡(luò)和信息安全提供科學依據(jù)。（國信辦[2006]5號文件）36第三十六頁，共六十二頁。二、標準的主要內(nèi)容1、什么是風險評估2、為什么要做風險評估3、風險評估怎么做37第三十七頁，共六十二頁。3、風險評估怎么做

-風險評估實施流程

-風險評估的形式

-信息系統(tǒng)生命周期各階段的風險評估

38第三十八頁，共六十二頁。3、風險評估怎么做

-風險評估實施流程

-風險評估的形式

-信息系統(tǒng)生命周期各階段的風險評估

39第三十九頁，共六十二頁。風險評估的實施流程

先期準備

要素分析

風險分析

文檔記錄風險評估實施流程圖40第四十頁，共六十二頁。實施步驟(1)風險評估的準備(2)資產(chǎn)識別(3)威脅識別(4)脆弱性識別(5)已有安全措施的確認(6)風險分析(7)風險評估文件記錄41第四十一頁，共六十二頁。3、風險評估怎么做

-風險評估實施流程

-風險評估的形式

-信息系統(tǒng)生命周期各階段的風險評估

42第四十二頁，共六十二頁。

信息安全風險評估分為自評估、檢查評估兩種形式。自評估為主，自評估和檢查評估相互結(jié)合、互為補充。自評估和檢查評估可依托自身技術(shù)力量進行，也可委托第三方機構(gòu)提供技術(shù)支持。

風險評估的形式43第四十三頁，共六十二頁。自評估

自評估可由發(fā)起方實施或委托風險評估服務(wù)技術(shù)支持方實施。由發(fā)起方實施的評估可以降低實施的費用、提高信息系統(tǒng)相關(guān)人員的安全意識，但可能由于缺乏風險評估的專業(yè)技能，其結(jié)果不夠深入準確；同時，受到組織內(nèi)部各種因素的影響，其評估結(jié)果的客觀性易受影響。委托風險評估服務(wù)技術(shù)支持方實施的評估，過程比較規(guī)范、評估結(jié)果的客觀性比較好，可信程度較高；但由于受到行業(yè)知識技能及業(yè)務(wù)了解的限制，對被評估系統(tǒng)的了解，尤其是在業(yè)務(wù)方面的特殊要求存在一定的局限。但由于引入第三方本身就是一個風險因素，因此，對其背景與資質(zhì)、評估過程與結(jié)果的保密要求等方面應(yīng)進行控制。44第四十四頁，共六十二頁。自評估中的“自”不僅僅是指自已做評估的“自”，也不僅僅是指自愿做評估的“自”。由于“誰主管誰負責”，出于對自身信息系統(tǒng)的安全責任考慮，信息系統(tǒng)主管者應(yīng)定期對系統(tǒng)進行風險評估，具體實施時可以依托自身的評估隊伍進行，也可委托有資質(zhì)的第三方提供評估服務(wù)技術(shù)支持，但無論是哪一種形式，責任都是由信息系統(tǒng)主管者自已擔負的。因此，自評估中的“自”的含義是自已負責的“自”。包括自已負責系統(tǒng)的安全、自己發(fā)起對信息系統(tǒng)的風險評估以及自己負責為保障系統(tǒng)安全所做的風險評估的安全等。45第四十五頁，共六十二頁。

此外，為保證風險評估的實施，與系統(tǒng)相連的相關(guān)方也應(yīng)配合，以防止給其他方的使用帶來困難或引入新的風險也往往較多，因此，要對實施檢查評估機構(gòu)的資質(zhì)進行嚴格管理。46第四十六頁，共六十二頁。檢查評估

檢查評估是指信息系統(tǒng)上級管理部門組織的或國家有關(guān)職能部門依法開展的風險評估。

檢查評估可依據(jù)本標準的要求，實施完整的風險評估過程。47第四十七頁，共六十二頁。一是風險評估究其根本是評估系統(tǒng)的敏感信息，涉及大量的安全問題，完全委托第三方將帶來評估本身的風險；二是進行風險評估要求評估人員既要了解評估本身的一套方法與流程，還要了解被評估系統(tǒng)的業(yè)務(wù)特性，這對于完全從事評估的第三方來講，在短時間內(nèi)了解每個系統(tǒng)的業(yè)務(wù)特性難度是比較大的；三是風險評估工作流程中常常要求被評估方向評估方提供各種信息，需要之間的良好互動以及多方會商，單靠評估方第三方是無法完成系統(tǒng)評估的?；谝陨显颍性u估技術(shù)支持比委托評估的提法更為切合實際。并且，提供委托評估技術(shù)支持的機構(gòu)應(yīng)具有相應(yīng)的資質(zhì)。48第四十八頁，共六十二頁。3、風險評估怎么做

-風險評估實施流程

-風險評估的形式

-信息系統(tǒng)生命周期各階段的風險評估

49第四十九頁，共六十二頁。

國信辦[2006]5號文件指出：信息安全風險評估應(yīng)貫穿于網(wǎng)絡(luò)與信息系統(tǒng)建設(shè)運行的全過程。在網(wǎng)絡(luò)與信息系統(tǒng)的設(shè)計、驗收及運行維護階段均應(yīng)當進行信息安全風險評估。如在網(wǎng)絡(luò)與信息系統(tǒng)規(guī)劃設(shè)計階段，應(yīng)通過信息安全風險評估進一步明確安全需求和安全目標。

50第五十頁，共六十二頁。信息系統(tǒng)生命周期各階段的風險評估規(guī)劃階段的風險評估設(shè)計階段的風險評估實施階段的風險評估運行維護階段的風險評估廢棄階段的風險評估51第五十一頁，共六十二頁。規(guī)劃階段的風險評估

規(guī)劃階段風險評估的目的是識別系統(tǒng)的業(yè)務(wù)戰(zhàn)略，以支撐系統(tǒng)安全需求及安全戰(zhàn)略等。規(guī)劃階段的評估應(yīng)能夠描述信息系統(tǒng)建成后對現(xiàn)有業(yè)務(wù)模式的作用，包括技術(shù)、管理等方面，并根據(jù)其作用確定系統(tǒng)建設(shè)應(yīng)達到的安全目標。

52第五十二頁，共六十二頁。設(shè)計階段的風險評估

設(shè)計階段的風險評估需要根據(jù)規(guī)劃階段所明確的系統(tǒng)運行環(huán)境、資產(chǎn)重要性，提出安全功能需求。設(shè)計階段的風險評估結(jié)果應(yīng)對設(shè)計方案中所提供的安全功能符合性進行判斷，作為采購過程風險控制的依據(jù)。53第五十三頁，共六十二頁。實施階段的風險評估

實施階段風險評估的目的是根據(jù)系統(tǒng)安全需求和運行環(huán)境對系統(tǒng)開發(fā)、實施過程進行風險識別，并對系統(tǒng)建成后的安全功能進行驗證。根據(jù)設(shè)計階段分析的威脅和制定的安全措施，在實施及驗收時進行質(zhì)量控制。基于設(shè)計階段的資產(chǎn)列表、安全措施，實施階段應(yīng)對規(guī)劃階段的安全威脅進行進一步細分，同時評估安全措施的實現(xiàn)程度，從而確定安全措施能否抵御現(xiàn)有威脅、脆弱性的影響。實施階段風險評估主要對系統(tǒng)的開發(fā)與技術(shù)/產(chǎn)品獲取、系統(tǒng)交付實施兩個過程進行評估。54第五十四頁，共六十二頁。運行維護階段的風險評估運行維護階段風險評估的目的是了解和控制運行過程中的安全風險，是一種較為全面的風險評估。評估內(nèi)容包括對真實運行的信息系統(tǒng)、資產(chǎn)、威脅、脆弱性等各方面。資產(chǎn)評估：在真實環(huán)境下較為細致的評估。包括實施階段采購的軟硬件資產(chǎn)、系統(tǒng)運行過程中生成的信息資產(chǎn)、相關(guān)的人員與服務(wù)等，本階段資產(chǎn)識別是前期資產(chǎn)識別的補充與增加；威脅評估：應(yīng)全面地分析威脅的可能性和影響程度。對非故意威脅導致安全事件的評估可以參照安全事件的發(fā)生頻率；對故意威脅導致安全事件的評估主要就威脅的各個影響因素做出專業(yè)判斷；脆弱性評估：是全面的脆弱性評估。包括運行環(huán)境中物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、安全保障設(shè)備、管理等各方面的脆弱性。技術(shù)脆弱性評估可以采取核查、掃描、案例驗證、滲透性測試的方式實施；安全保障設(shè)備的脆弱性評估，應(yīng)考慮安全功能的實現(xiàn)情況和安全保障設(shè)備本身的脆弱性；管理脆弱性評估可以采取文檔、記錄核查等方式進行驗證；風險計算：根據(jù)本標準的相關(guān)方法，對重要資產(chǎn)的風險進行定性或定量的風險分析，描述不同資產(chǎn)的風險高低狀況。55第五十五頁，共六十二頁。廢棄階段的風險評估

當信息系統(tǒng)不能滿足現(xiàn)有要求時，信息系統(tǒng)進入廢棄階段。根據(jù)廢棄的程度，又分為部分廢棄和全部廢棄兩種。廢棄階段風險評估著重在以下幾方面：

1、確保硬件和軟件等資產(chǎn)及殘留信息得到了適當?shù)奶幹?，并確保系統(tǒng)組件被合理地丟棄或更換；

2、如果被廢棄的系統(tǒng)是某個系統(tǒng)的一部分，或與其他系統(tǒng)存在物理或邏輯上的連接，還應(yīng)考慮系統(tǒng)廢棄后與其他系統(tǒng)的連接是否被關(guān)閉；3、如果在系統(tǒng)變更中廢棄，除對廢棄部分外，還應(yīng)對變更的部分進行評估，以確定是否會增加風險或引入新的風險；4、是否建立了流程，確保更新過程在一個安全、系統(tǒng)化的狀態(tài)下完成。56第五十六頁，共六十二頁。匯報內(nèi)容一、標準的編制過程二、標準的主要內(nèi)容三、下一步工作的幾點思考57第五十七頁，共六十二頁。

--按照標準化管理和審批程序，繼續(xù)完成《信息安