信息安全風(fēng)險(xiǎn)評估標(biāo)準(zhǔn)及試點(diǎn)工作情況介紹范紅

國家信息平安風(fēng)險(xiǎn)評估工作情況介紹報(bào)告人:范紅二00五年五月1匯報(bào)內(nèi)容一、國家風(fēng)險(xiǎn)評估前期工作概述二、風(fēng)險(xiǎn)評估標(biāo)準(zhǔn)編制情況介紹三、風(fēng)險(xiǎn)評估標(biāo)準(zhǔn)內(nèi)容簡介四、風(fēng)險(xiǎn)評估試點(diǎn)工作情況介紹五、下一步的工作考慮2一、國家風(fēng)險(xiǎn)評估前期工作概述

為了貫徹落實(shí)中辦發(fā)2003[27]號文件的精神，國信辦委托國家信息中心牽頭，會(huì)同公安部,保密局,中科院和解放軍等部門組織專家成立了風(fēng)險(xiǎn)評估課題組。課題組的宗旨是以信息平安風(fēng)險(xiǎn)為切入點(diǎn),全面了解我國信息平安建設(shè)現(xiàn)狀,發(fā)現(xiàn)問題并尋找應(yīng)對措施。課題組在2003年下半年對北京,上海,廣州和深圳四個(gè)地區(qū)的十幾個(gè)行業(yè)的五十多家企事單位進(jìn)行了廣泛的調(diào)研與走訪,完成了我國信息平安風(fēng)險(xiǎn)評估調(diào)查報(bào)告,同時(shí),課題組對國內(nèi)外信息平安風(fēng)險(xiǎn)評估工作進(jìn)行了系統(tǒng)的理論梳理,所完成的信息平安風(fēng)險(xiǎn)評估研究報(bào)告做為2004年1月在北京召開全國第一次信息平安保障大會(huì)的傳閱文件。在這次大會(huì)黃菊同志的講話中要求大家重視風(fēng)險(xiǎn)評估工作,并將風(fēng)險(xiǎn)評估列為我國信息平安保障體系建設(shè)要抓的五項(xiàng)根底性工作之一。

3一、國家風(fēng)險(xiǎn)評估前期工作概述

為了進(jìn)一步推動(dòng)信息平安風(fēng)險(xiǎn)評估工作，在2003年工作根底上，國信辦決定2004年繼續(xù)委托國家信息中心組織信息平安風(fēng)險(xiǎn)評估課題組下一階段的工作。為了將已有工作做深做實(shí),并為下一步國家出臺風(fēng)險(xiǎn)評估指導(dǎo)意見以及進(jìn)行國家重要信息系統(tǒng)和根底網(wǎng)絡(luò)的風(fēng)險(xiǎn)評估試點(diǎn)工作做準(zhǔn)備，根據(jù)國信辦領(lǐng)導(dǎo)的指示，課題組在2004年上半年啟動(dòng)了風(fēng)險(xiǎn)評估指南和風(fēng)險(xiǎn)管理指南等標(biāo)準(zhǔn)的編制工作。旨在通過這項(xiàng)工作更好地加強(qiáng)信息平安風(fēng)險(xiǎn)評估及管理，使其流程更加科學(xué)、標(biāo)準(zhǔn)和有效，從而促進(jìn)我國信息平安保障體系的建立，進(jìn)而推動(dòng)我國信息化的建設(shè)歷程。4二、風(fēng)險(xiǎn)評估標(biāo)準(zhǔn)編制情況介紹

自任務(wù)下達(dá)后，國家信息中心組織國內(nèi)十幾家從事過平安風(fēng)險(xiǎn)評估工作的單位開展了信息平安風(fēng)險(xiǎn)評估標(biāo)準(zhǔn)標(biāo)準(zhǔn)的制定工作,對當(dāng)前大家在評估實(shí)踐工作默認(rèn)的共同標(biāo)準(zhǔn)進(jìn)行歸納、總結(jié)、簡化與提升。標(biāo)準(zhǔn)編制工作于2004年3月29日正式啟動(dòng)，整個(gè)撰寫工作分為前期準(zhǔn)備階段、提綱編制階段、任務(wù)細(xì)化階段、整合完成階段等階段，歷時(shí)一年先后完成<<信息平安評估指南>>與<<信息平安管理指南>>的征求意見稿。

5標(biāo)準(zhǔn)編制原那么

〔1〕立足于我國當(dāng)前信息化建設(shè)現(xiàn)狀，對我國信息平安風(fēng)險(xiǎn)評估方法進(jìn)行總結(jié)、歸納、簡化與提升，注重吸納國外相關(guān)領(lǐng)域的先進(jìn)成果并為我所用,使其外鄉(xiāng)化?！?)可操作性和實(shí)用性。標(biāo)準(zhǔn)是對實(shí)際工作的總結(jié)與提升，但最終還要用于實(shí)踐，要經(jīng)得起實(shí)踐的檢驗(yàn)。因此要可用，可操作?！?)注重吸收主管部門在評估方面已有的經(jīng)驗(yàn)與成果。如等級保護(hù)、保密檢查和產(chǎn)品測評等?！?)科學(xué)性與前瞻性。評估標(biāo)準(zhǔn)中要表達(dá)科學(xué)性。所提供的方法要可信，要具有引領(lǐng)的作用。6三、風(fēng)險(xiǎn)評估標(biāo)準(zhǔn)內(nèi)容簡介

1、評估指南內(nèi)容簡介2、管理指南內(nèi)容簡介

7三、風(fēng)險(xiǎn)評估標(biāo)準(zhǔn)內(nèi)容簡介

1、評估指南內(nèi)容簡介2、管理指南內(nèi)容簡介

81、風(fēng)險(xiǎn)評估指南內(nèi)容簡介<<信息平安風(fēng)險(xiǎn)評估指南>>包括指南文本和附錄兩局部。其中指南文本由一個(gè)前言和8章內(nèi)容組成，分為以下幾局部：1、概述局部；2、模型與流程局部；3、實(shí)施局部；4、關(guān)聯(lián)局部。附錄局部由二個(gè)附錄組成。9風(fēng)險(xiǎn)評估的定義

信息系統(tǒng)的平安風(fēng)險(xiǎn)，是指由于系統(tǒng)存在的脆弱性，人為或自然的威脅導(dǎo)致平安事件發(fā)生所造成的影響。信息平安風(fēng)險(xiǎn)評估，那么是指依據(jù)國家有關(guān)信息平安技術(shù)標(biāo)準(zhǔn)，對信息系統(tǒng)及由其處理、傳輸和存儲(chǔ)的信息的保密性、完整性和可用性等平安屬性進(jìn)行科學(xué)評價(jià)的過程，它要評估信息系統(tǒng)的脆弱性、信息系統(tǒng)面臨的威脅以及脆弱性被威脅源利用后平安事件發(fā)生的可能性，并結(jié)合資產(chǎn)的重要程度來識別信息系統(tǒng)的平安風(fēng)險(xiǎn)。10術(shù)語及定義資產(chǎn)價(jià)值威脅脆弱性風(fēng)險(xiǎn)剩余風(fēng)險(xiǎn)風(fēng)險(xiǎn)評估可用性保密性完整性業(yè)務(wù)戰(zhàn)略平安事件平安需求平安措施自評估檢查評估11風(fēng)險(xiǎn)評估要素關(guān)系模型安全措施

抗擊業(yè)務(wù)戰(zhàn)略脆弱性安全需求威脅風(fēng)險(xiǎn)殘余風(fēng)險(xiǎn)安全事件依賴擁有被滿足利用暴露降低增加增加增加導(dǎo)出演變

未被滿足未控制可能誘發(fā)殘留成本資產(chǎn)資產(chǎn)價(jià)值12風(fēng)險(xiǎn)計(jì)算模型資產(chǎn)擁有者威脅來源信息資產(chǎn)威脅弱點(diǎn)安全事件安全風(fēng)險(xiǎn)（風(fēng)險(xiǎn)值）13風(fēng)險(xiǎn)評估實(shí)施流程否是否是風(fēng)險(xiǎn)評估的準(zhǔn)備已有安全措施的確認(rèn)風(fēng)險(xiǎn)計(jì)算風(fēng)險(xiǎn)是否接受保持已有的控制措施選擇適當(dāng)?shù)目刂拼胧┎⒃u估殘余風(fēng)險(xiǎn)實(shí)施風(fēng)險(xiǎn)管理脆弱性識別威脅識別資產(chǎn)識別是否接受殘余風(fēng)險(xiǎn)

風(fēng)險(xiǎn)識別評估過程文檔評估過程文檔風(fēng)險(xiǎn)評估結(jié)果記錄評估結(jié)果文檔………………14

風(fēng)險(xiǎn)評估的形式及角色運(yùn)用評估指南根據(jù)評估的發(fā)起方的不同，將風(fēng)險(xiǎn)評估形式分為自評估和檢查評估兩大類。自評估是由被評估信息系統(tǒng)的擁有者發(fā)起的，并依靠自身的力量，對其自身的信息系統(tǒng)進(jìn)行的風(fēng)險(xiǎn)評估活動(dòng)。檢查評估那么通常是被評估信息系統(tǒng)的擁有者的上級主管機(jī)關(guān)或業(yè)務(wù)主管機(jī)關(guān)發(fā)起的，旨在依據(jù)已經(jīng)公布的法規(guī)或標(biāo)準(zhǔn)進(jìn)行的，具有強(qiáng)制意味的檢查活動(dòng)，是通過行政手段加強(qiáng)信息平安的重要措施。信息平安風(fēng)險(xiǎn)評估效勞機(jī)構(gòu)可為自評估和檢查評估提供風(fēng)險(xiǎn)評估的咨詢、培訓(xùn)等效勞以及提供風(fēng)險(xiǎn)評估的有關(guān)工具和手段。

15在風(fēng)險(xiǎn)評估指南的文本局部，我們試圖給出進(jìn)行風(fēng)險(xiǎn)評估的一個(gè)路線圖〔實(shí)施流程〕，以及這個(gè)路線圖中包括的假設(shè)干關(guān)鍵點(diǎn)〔關(guān)鍵步驟〕和從一個(gè)關(guān)鍵點(diǎn)到另一個(gè)關(guān)鍵點(diǎn)的原那么。這些也是參與編制工作的人員共同討論的結(jié)果。這也表達(dá)了做為國家標(biāo)準(zhǔn)對于通用規(guī)律的把握。同時(shí)，為了防止過程的僵硬，以及表達(dá)評估中定量與定性的結(jié)合的特點(diǎn)，對于一些具體的實(shí)現(xiàn)細(xì)節(jié)指南進(jìn)行了開放性地處理，放到了附錄局部。即在附錄中給出了當(dāng)前較為常用的風(fēng)險(xiǎn)計(jì)算方法與工具以供選擇，此局部將隨著技術(shù)的開展而不斷更新。16三、風(fēng)險(xiǎn)評估標(biāo)準(zhǔn)內(nèi)容簡介

1、評估指南內(nèi)容簡介

2、管理指南內(nèi)容簡介

172、風(fēng)險(xiǎn)管理指南內(nèi)容簡介

<<信息平安風(fēng)險(xiǎn)管理指南>>的文本由一個(gè)前言和14個(gè)章節(jié)組成，主要包括以下幾方面的內(nèi)容：1、信息平安風(fēng)險(xiǎn)管理的目的和意義2、信息平安風(fēng)險(xiǎn)管理的范圍和對象3、信息平安風(fēng)險(xiǎn)管理的角色和責(zé)任4、信息平安風(fēng)險(xiǎn)管理的內(nèi)容和過程5、風(fēng)險(xiǎn)管理在信息系統(tǒng)生命周期不同階段的運(yùn)用

18信息平安風(fēng)險(xiǎn)管理的目的和意義

信息平安風(fēng)險(xiǎn)管理是信息平安保障工作中的一項(xiàng)根底性工作?！?〕信息平安風(fēng)險(xiǎn)管理表達(dá)在信息平安保障體系的技術(shù)、組織和管理等方面。〔2〕信息平安風(fēng)險(xiǎn)管理貫穿信息系統(tǒng)生命周期的全部過程。〔3〕信息平安風(fēng)險(xiǎn)管理依據(jù)等級保護(hù)的思想和適度平安的原那么，平衡本錢與效益，合理部署和利用信息平安的信任體系、監(jiān)控體系和應(yīng)急處理等重要的根底設(shè)施，確定適宜的平安措施，從而確保機(jī)構(gòu)具有完成其使命的信息平安保障能力。19信息平安風(fēng)險(xiǎn)管理的范圍和對象20風(fēng)險(xiǎn)管理的內(nèi)容和過程

21三維結(jié)構(gòu)關(guān)系

22四、風(fēng)險(xiǎn)評估試點(diǎn)工作情況介紹

1、整體工作介紹2、專家組的工作安排3、規(guī)劃與設(shè)計(jì)階段風(fēng)險(xiǎn)評估實(shí)施細(xì)那么231、整體工作介紹

在前述工作的根底上，為制定<<關(guān)于開展信息平安風(fēng)險(xiǎn)評估工作的意見>>提供實(shí)踐依據(jù)，以及在實(shí)踐中進(jìn)一步修改完善兩項(xiàng)國家標(biāo)準(zhǔn)，國信辦聯(lián)合有關(guān)部門和地方在2005年對銀行、稅務(wù)、電力、國家電子政務(wù)外網(wǎng)等重要信息系統(tǒng)和關(guān)鍵根底設(shè)施以及北京市、上海市、黑龍江省、云南省等地方的電子政務(wù)系統(tǒng)啟動(dòng)了風(fēng)險(xiǎn)評估試點(diǎn)工作。24

試點(diǎn)工作分為準(zhǔn)備階段、實(shí)施階段和總結(jié)階段，工作時(shí)間為8個(gè)月。各試點(diǎn)單位將依據(jù)<<信息平安風(fēng)險(xiǎn)評估指南>>和<<信息平安風(fēng)險(xiǎn)管理指南>>，結(jié)合自身的具體情況，選擇相應(yīng)的風(fēng)險(xiǎn)評估方法和適當(dāng)?shù)墓ぞ撸贫L(fēng)險(xiǎn)評估實(shí)施方案，并在評估實(shí)踐中進(jìn)一步檢驗(yàn)標(biāo)準(zhǔn)的完備性和適用性，同時(shí)摸索國家進(jìn)一步開展風(fēng)險(xiǎn)評估工作的實(shí)踐經(jīng)驗(yàn)。試點(diǎn)工作中還將檢驗(yàn)自評估、檢查評估等不同信息平安風(fēng)險(xiǎn)評估工作模式的實(shí)踐效果，為國家信息平安主管部門制定信息平安管理政策提供客觀依據(jù)；了解和掌握被評估的信息系統(tǒng)的平安風(fēng)險(xiǎn)狀況，為信息系統(tǒng)的使用管理部門制定平安策略、采取平安措施提供決策建議。252、專家組的工作安排

為了完成兩項(xiàng)國標(biāo)的修改與完善工作，在國信辦原有的風(fēng)險(xiǎn)評估課題組的根底上，成立了國信辦風(fēng)險(xiǎn)評估試點(diǎn)工作專家組，其主要任務(wù)為：在準(zhǔn)備階段組織八個(gè)試點(diǎn)單位的相關(guān)人員進(jìn)行培訓(xùn)，明確風(fēng)險(xiǎn)評估流程和風(fēng)險(xiǎn)評估準(zhǔn)備階段的任務(wù)，協(xié)助試點(diǎn)單位制定其風(fēng)險(xiǎn)評估實(shí)施方案。在實(shí)施階段到各試點(diǎn)單位調(diào)研，選擇重點(diǎn)行業(yè)的單位進(jìn)行階段性的蹲點(diǎn)，廣泛調(diào)研其試點(diǎn)方案實(shí)施情況，了解各單位在試點(diǎn)過程中對評估及管理的流程、方法、工具和手段的使用存在的問題，不斷充實(shí)和完善標(biāo)準(zhǔn)。

262、專家組的工作安排

在總結(jié)階段將匯總各試點(diǎn)單位的試點(diǎn)工作情況，完善準(zhǔn)的修改意見。在各試點(diǎn)單位正式總結(jié)之前，召開評審會(huì)為國信辦試點(diǎn)工作總結(jié)提供根底素材。充實(shí)和完善?信息平安風(fēng)險(xiǎn)評估指南?和?信息安全風(fēng)險(xiǎn)管理指南?，通過試點(diǎn)工作提出兩個(gè)標(biāo)準(zhǔn)的修改意見，根據(jù)國信辦領(lǐng)導(dǎo)的指示，兩項(xiàng)國標(biāo)將經(jīng)過試點(diǎn)工作的完善與修改，于2005年年底完成并正式報(bào)為國標(biāo)。同時(shí)與標(biāo)準(zhǔn)相關(guān)的配套理論、方法和標(biāo)準(zhǔn)的研究目前正在進(jìn)行之中。

此外，專家組還將協(xié)助風(fēng)險(xiǎn)評估試點(diǎn)工作領(lǐng)導(dǎo)小組制定?關(guān)于開展信息平安風(fēng)險(xiǎn)評估工作的意見?