安全風(fēng)險(xiǎn)評(píng)估指南

信息安全風(fēng)險(xiǎn)評(píng)估國(guó)家標(biāo)準(zhǔn)編制及內(nèi)容介紹范紅二00六年九月1主要內(nèi)容一、標(biāo)準(zhǔn)的編制過程二、標(biāo)準(zhǔn)的主要內(nèi)容三、下一步工作的幾點(diǎn)思考2主要內(nèi)容一、標(biāo)準(zhǔn)的編制過程二、標(biāo)準(zhǔn)的主要內(nèi)容三、下一步工作的幾點(diǎn)思考3一、標(biāo)準(zhǔn)的編制過程1、前期研究準(zhǔn)備2、標(biāo)準(zhǔn)草案編制3、試點(diǎn)實(shí)踐檢驗(yàn)4、專家評(píng)審論證4一、標(biāo)準(zhǔn)的編制過程1、前期研究準(zhǔn)備2、標(biāo)準(zhǔn)草案編制3、試點(diǎn)實(shí)踐檢驗(yàn)4、專家評(píng)審論證5

1、前期研究準(zhǔn)備

2003年7月,中辦發(fā)[2003]27號(hào)文件對(duì)開展信息安全風(fēng)險(xiǎn)評(píng)估工作提出了明確的要求。國(guó)信辦委托國(guó)家信息中心牽頭，成立了國(guó)家信息安全風(fēng)險(xiǎn)評(píng)估課題組，對(duì)信息安全風(fēng)險(xiǎn)評(píng)估相關(guān)工作展開調(diào)查研究。課題組利用半年多的時(shí)間，對(duì)我國(guó)信息安全風(fēng)險(xiǎn)評(píng)估現(xiàn)狀進(jìn)行了深入調(diào)查，掌握了第一手情況；對(duì)國(guó)內(nèi)外相關(guān)領(lǐng)域的理論進(jìn)行了學(xué)習(xí)、分析和研究，查閱了大量的相關(guān)資料，基本了解了此領(lǐng)域的國(guó)際前沿動(dòng)態(tài)。這些都為標(biāo)準(zhǔn)編制工作奠定了良好的基礎(chǔ)。6

統(tǒng)一的風(fēng)險(xiǎn)評(píng)估技術(shù)標(biāo)準(zhǔn)是規(guī)范開展信息安全風(fēng)險(xiǎn)評(píng)估工作的必備條件。落實(shí)中辦發(fā)27號(hào)文件、全面推進(jìn)我國(guó)的信息安全風(fēng)險(xiǎn)評(píng)估工作，首先就必須解決我國(guó)缺乏統(tǒng)一的風(fēng)險(xiǎn)評(píng)估技術(shù)標(biāo)準(zhǔn)的問題。為此，國(guó)信辦領(lǐng)導(dǎo)根據(jù)專家們的建議，決定著手開展信息安全風(fēng)險(xiǎn)評(píng)估國(guó)家標(biāo)準(zhǔn)的編制工作及相關(guān)實(shí)踐活動(dòng)。旨在通過這項(xiàng)工作更好地加強(qiáng)國(guó)家基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估及管理工作，使其流程更加科學(xué)、統(tǒng)一、規(guī)范、有效。7一、標(biāo)準(zhǔn)的編制過程1、前期研究準(zhǔn)備2、標(biāo)準(zhǔn)草案編制3、試點(diǎn)實(shí)踐檢驗(yàn)4、專家評(píng)審論證8

根據(jù)國(guó)信辦的指示和信安標(biāo)委的具體要求，國(guó)家信息中心組織國(guó)家保密技術(shù)研究所、公安部三所、北京信息安全測(cè)評(píng)中心、上海市測(cè)評(píng)認(rèn)證中心、信息安全國(guó)家重點(diǎn)實(shí)驗(yàn)室以及BJCA、上海三零衛(wèi)士、聯(lián)想、天融信、啟明星辰、綠盟、科飛、凝瑞等國(guó)內(nèi)十幾家企事業(yè)單位于2004年3月29日正式啟動(dòng)標(biāo)準(zhǔn)草案的編制工作。此后，中國(guó)信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心、解放軍信息技術(shù)安全研究中心、航天部二院七O六所等單位也參與了標(biāo)準(zhǔn)的編制與起草。起草組在前期準(zhǔn)備工作的基礎(chǔ)上，經(jīng)過多次研究探討，確定了編制標(biāo)準(zhǔn)應(yīng)遵循的原則:

2、標(biāo)準(zhǔn)草案編制9

1、符合我國(guó)現(xiàn)行的信息安全有關(guān)法律法規(guī)的要求，認(rèn)真貫徹落實(shí)27號(hào)文件關(guān)于加強(qiáng)信息安全風(fēng)險(xiǎn)評(píng)估工作的精神；

2、立足于我國(guó)信息化建設(shè)實(shí)踐，積極借鑒國(guó)際先進(jìn)標(biāo)準(zhǔn)的技術(shù)，提出符合我國(guó)基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)工程建設(shè)需求的風(fēng)險(xiǎn)評(píng)估規(guī)范；

3、針對(duì)網(wǎng)絡(luò)與信息系統(tǒng)的全生命周期，制訂適應(yīng)不同階段特點(diǎn)和要求的風(fēng)險(xiǎn)評(píng)估實(shí)施方法；

4、積極吸收信息安全有關(guān)主管部門和單位在等級(jí)保護(hù)、保密檢查和產(chǎn)品測(cè)評(píng)等工作的經(jīng)驗(yàn)與成果；

5、標(biāo)準(zhǔn)文本體系結(jié)構(gòu)科學(xué)合理，表述清晰，具有可實(shí)現(xiàn)性和可操作性。

10在標(biāo)準(zhǔn)編制的的過程中，，標(biāo)準(zhǔn)起草草組多次與與相關(guān)主管管部門所屬屬機(jī)構(gòu)的專專家代表就就技術(shù)標(biāo)準(zhǔn)準(zhǔn)有關(guān)主體體內(nèi)容進(jìn)行行會(huì)商；向相關(guān)單位位發(fā)放標(biāo)準(zhǔn)準(zhǔn)文本，通過電子郵郵件等形式式廣泛征求求業(yè)界意見見；召開標(biāo)標(biāo)準(zhǔn)討論會(huì)會(huì)議三十幾幾次，共收收集100多條修改意意見。起草組逐一一對(duì)修改意意見進(jìn)行研研究，在充充分吸納合合理成份的的基礎(chǔ)上，，對(duì)《信息安全風(fēng)風(fēng)險(xiǎn)評(píng)估規(guī)規(guī)范》等標(biāo)準(zhǔn)進(jìn)行行了較大幅幅度的修改改，使標(biāo)準(zhǔn)準(zhǔn)的體系結(jié)結(jié)構(gòu)更趨完完善、合理理。11一、標(biāo)準(zhǔn)的的制定過程程1、前期研究究準(zhǔn)備2、標(biāo)準(zhǔn)草案編編制3、試點(diǎn)實(shí)踐踐檢驗(yàn)4、專家評(píng)審審論證123、試點(diǎn)實(shí)踐踐檢驗(yàn)2005年2月,根據(jù)國(guó)信辦[2005]4號(hào)和5號(hào)文件，關(guān)關(guān)于在銀行行、稅務(wù)、、電力等部部門和電子子政務(wù)外網(wǎng)網(wǎng)，以及北北京、上海海、黑龍江江、云南等等省市，開開展信息安安全風(fēng)險(xiǎn)評(píng)評(píng)估試點(diǎn)工工作的要求求，標(biāo)準(zhǔn)起起草組配合合風(fēng)險(xiǎn)評(píng)估估試點(diǎn)工作作專家組開開展了以下下工作：--為各試點(diǎn)單單位提供標(biāo)標(biāo)準(zhǔn)草案文文本和相關(guān)關(guān)說明；--在試點(diǎn)準(zhǔn)備備階段與各各試點(diǎn)單位位的技術(shù)骨骨干進(jìn)行標(biāo)標(biāo)準(zhǔn)技術(shù)交流流；--根據(jù)標(biāo)準(zhǔn)草草案文本涉涉及的關(guān)鍵鍵技術(shù)，起起草組成員員選擇試點(diǎn)環(huán)環(huán)節(jié)參與實(shí)實(shí)際試點(diǎn)；；--在試點(diǎn)過程程中，先后后幾次召開開標(biāo)準(zhǔn)研討討會(huì)，征求求各單位對(duì)標(biāo)標(biāo)準(zhǔn)的意見見與建議。。13整個(gè)試點(diǎn)工作作歷時(shí)7個(gè)月，各試點(diǎn)單位位對(duì)標(biāo)準(zhǔn)草草案先后提提出40多條補(bǔ)充修修改意見，，標(biāo)準(zhǔn)起草草組根據(jù)據(jù)試試點(diǎn)點(diǎn)結(jié)結(jié)果果先后后進(jìn)進(jìn)行行了了三三次次較較大大規(guī)規(guī)模模的的修修改改。。主主要要內(nèi)內(nèi)容容包包括括：：--細(xì)化化了了資資產(chǎn)產(chǎn)的的分分類類方方法法、、脆脆弱弱性性的的識(shí)識(shí)別別要要求求，，修修改并并細(xì)細(xì)化化了了風(fēng)風(fēng)險(xiǎn)險(xiǎn)計(jì)計(jì)算算的的方方法法；；--對(duì)自自評(píng)評(píng)估估、、檢檢查查評(píng)評(píng)估估不不同同評(píng)評(píng)估估形形式式的的內(nèi)內(nèi)容容與與實(shí)實(shí)施施的重重點(diǎn)點(diǎn)進(jìn)進(jìn)行行了了區(qū)區(qū)分分；；--對(duì)風(fēng)風(fēng)險(xiǎn)險(xiǎn)評(píng)評(píng)估估的的工工具具進(jìn)進(jìn)行行了了梳梳理理和和區(qū)區(qū)分分，，形形成成了了現(xiàn)現(xiàn)在的的幾幾種種類類型型；；--細(xì)化化了了生生命命周周期期不不同同階階段段風(fēng)風(fēng)險(xiǎn)險(xiǎn)評(píng)評(píng)估估的的主主要要內(nèi)內(nèi)容容。。試點(diǎn)實(shí)踐證明明，試行標(biāo)準(zhǔn)準(zhǔn)基本滿足各各試點(diǎn)單位評(píng)評(píng)估工作的需需求。14一、標(biāo)準(zhǔn)的制制定過程1、前期研究準(zhǔn)準(zhǔn)備2、標(biāo)準(zhǔn)草案編制制3、試點(diǎn)實(shí)踐檢檢驗(yàn)4、專家評(píng)審論論證152005年9月16日，國(guó)家信息息中心在北京京組織召開了由周仲義院院士主持的《信息安全風(fēng)險(xiǎn)險(xiǎn)評(píng)估指南（（征求意見稿）》第一次專家評(píng)評(píng)審會(huì)。4、專家評(píng)審論論證16第一次專家評(píng)評(píng)審會(huì)名單姓名單位職務(wù)/職稱周仲義中國(guó)工程院院士熊四皓國(guó)務(wù)院信息辦處長(zhǎng)王娜國(guó)家發(fā)改委高科技司處長(zhǎng)姚世權(quán)中國(guó)標(biāo)準(zhǔn)化協(xié)會(huì)研究員賈穎禾全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)副秘書長(zhǎng)/研究員崔書昆國(guó)家信息化專家咨詢委員會(huì)委員/研究員景乾元公安部十一局處長(zhǎng)李建彬國(guó)稅總局信息中心副處長(zhǎng)張宏偉黑龍江省信息產(chǎn)業(yè)廳處長(zhǎng)姚麗旋上海市信息化管理委員會(huì)處長(zhǎng)肖京華總參三部三局處長(zhǎng)馮惠中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究所副主任/高工吳偉國(guó)家電網(wǎng)公司處長(zhǎng)詹榜華北京市CA中心總經(jīng)理172005年10月27日，國(guó)家信息息中心在北京京組織召開了了信息安全風(fēng)風(fēng)險(xiǎn)評(píng)估國(guó)家家標(biāo)準(zhǔn)征求意意見稿的第二二次專家評(píng)審審會(huì)。18第二次專家評(píng)評(píng)審會(huì)名單姓名單位職務(wù)/職稱何義大全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)副主任趙戰(zhàn)生國(guó)家信息化咨詢委員會(huì)研究員曲成義國(guó)家信息化咨詢委員會(huì)研究員馮登國(guó)信息安全863項(xiàng)目專家組組長(zhǎng)研究員陳曉樺中國(guó)信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心研究員崔書昆國(guó)家信息化咨詢委員會(huì)研究員景乾元公安部十一局處長(zhǎng)肖京華解放軍信息安全測(cè)評(píng)中心處長(zhǎng)賈穎禾全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)副秘書長(zhǎng)李守鵬中國(guó)信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心副主任王同良中石油經(jīng)濟(jì)技術(shù)中心副主任江志強(qiáng)民航總局人事科技司處長(zhǎng)謝小權(quán)航天科技集團(tuán)706所副所長(zhǎng)呂仲濤中國(guó)工商銀行總行信息科技部總工19與會(huì)專家家認(rèn)為為標(biāo)準(zhǔn)準(zhǔn)起草草組做做了大大量卓卓有成成效的的工作作，標(biāo)標(biāo)準(zhǔn)的的結(jié)構(gòu)構(gòu)合理理、內(nèi)內(nèi)容完完備、、可操操作性性強(qiáng)，，并充充分考考慮與與信息息安全全等級(jí)級(jí)保護(hù)護(hù)相關(guān)關(guān)標(biāo)準(zhǔn)準(zhǔn)相銜銜接。。文本本的編編制符符合國(guó)國(guó)家標(biāo)標(biāo)準(zhǔn)的的要求求。同同時(shí)，，專家家們也也對(duì)完完善標(biāo)標(biāo)準(zhǔn)提提出了了進(jìn)一一步的的修改改意見見。202005年12月14日，由由安標(biāo)標(biāo)委第第五工工作組組主持持召開開了由由沈昌昌祥院院士為為專家家組組組長(zhǎng)的的信息息安全全風(fēng)險(xiǎn)險(xiǎn)評(píng)估估國(guó)家家標(biāo)準(zhǔn)準(zhǔn)送審審稿的的專家家評(píng)審審會(huì)。。21專家評(píng)評(píng)審會(huì)會(huì)名單單姓名單位職務(wù)/職稱沈昌祥海軍計(jì)算技術(shù)研究所院士吉增瑞公安部信息安全標(biāo)委會(huì)委員研究員趙戰(zhàn)生國(guó)家信息化咨詢委員會(huì)研究員卿斯?jié)h中科院信息安全技術(shù)工程研究中心研究員杜虹國(guó)家保密技術(shù)研究所所長(zhǎng)景乾元公安部十一局處長(zhǎng)崔書昆國(guó)家信息化咨詢委員會(huì)研究員22與會(huì)專家家聽取取了起起草小小組的的編制制說明明及內(nèi)內(nèi)容介介紹，，審閱閱了相相關(guān)文文檔資資料，，經(jīng)質(zhì)質(zhì)詢和和討論論，一一致認(rèn)認(rèn)為：：一、、送送審審稿稿規(guī)規(guī)范范了了風(fēng)風(fēng)險(xiǎn)險(xiǎn)評(píng)評(píng)估估的的評(píng)評(píng)估估內(nèi)內(nèi)容容與與范范圍圍、、基基本本概概念念，，明明確確了資資產(chǎn)產(chǎn)、、威威脅脅、、脆脆弱弱性性和和安安全全風(fēng)風(fēng)險(xiǎn)險(xiǎn)等等關(guān)關(guān)鍵鍵要要素素及及其其賦賦值值原原則則和和要求求，，提提出出了了實(shí)實(shí)施施流流程程與與操操作作步步驟驟、、評(píng)評(píng)估估規(guī)規(guī)則則與與基基本本方方法法，，并并充分分考考慮慮與與信信息息安安全全等等級(jí)級(jí)保保護(hù)護(hù)相相關(guān)關(guān)標(biāo)標(biāo)準(zhǔn)準(zhǔn)相相銜銜接接。。二、、送送審審稿稿的的操操作作性性較較強(qiáng)強(qiáng)，，對(duì)對(duì)開開展展風(fēng)風(fēng)險(xiǎn)險(xiǎn)評(píng)評(píng)估估工工作作具具有有指指導(dǎo)導(dǎo)作作用用，，并在在國(guó)國(guó)務(wù)務(wù)院院信信息息辦辦組組織織的的風(fēng)風(fēng)險(xiǎn)險(xiǎn)評(píng)評(píng)估估試試點(diǎn)點(diǎn)中中得得到到了了進(jìn)進(jìn)一一步步的的實(shí)實(shí)踐踐驗(yàn)證證和和充充實(shí)實(shí)完完善善。。三、、文文本本的的編編制制符符合合國(guó)國(guó)家家標(biāo)標(biāo)準(zhǔn)準(zhǔn)GB1.1的要要求求。。專家家組組認(rèn)認(rèn)為為送送審審稿稿達(dá)達(dá)到到國(guó)國(guó)家家標(biāo)標(biāo)準(zhǔn)準(zhǔn)送送審審稿稿的的要要求求，，同同意意通通過過評(píng)評(píng)審。建議議起草組組根據(jù)專專家意見見盡快修修改完善善后申報(bào)報(bào)。232006年３月６６日和３３月１６６日，在在國(guó)信辦辦進(jìn)行的的行業(yè)和省省市的風(fēng)風(fēng)險(xiǎn)評(píng)估估政策文文件的兩兩次宣貫貫會(huì)上，，信息安安全風(fēng)險(xiǎn)評(píng)估估征求意意見稿以以國(guó)信辦辦文件的的形式下下發(fā)，為為各行業(yè)業(yè)和省市開展展風(fēng)險(xiǎn)評(píng)評(píng)估提供供技術(shù)依依據(jù)。242006年4月18日，全國(guó)國(guó)信息安安全標(biāo)準(zhǔn)準(zhǔn)化技術(shù)術(shù)委員（安標(biāo)委委）會(huì)第第五工作作組（WG5）在北京京召開全全體工作作組成員員標(biāo)準(zhǔn)投票票會(huì)議，，對(duì)信息息安全風(fēng)風(fēng)險(xiǎn)評(píng)估估國(guó)家標(biāo)標(biāo)準(zhǔn)送審審稿進(jìn)行行工作組全體體成員投投票表決決。與會(huì)會(huì)的三十十幾位專專家聽取取了標(biāo)準(zhǔn)準(zhǔn)起草組對(duì)《指南》的編制過過程以及及主要內(nèi)內(nèi)容的介介紹，經(jīng)經(jīng)投票一一致通過了了標(biāo)準(zhǔn)的的評(píng)審。。252006年6月19日，全國(guó)國(guó)信息安安全標(biāo)準(zhǔn)準(zhǔn)化技術(shù)術(shù)委員會(huì)會(huì)秘書處處在北京京組織召召開了信信息安全全風(fēng)險(xiǎn)評(píng)評(píng)估標(biāo)準(zhǔn)準(zhǔn)送審稿稿的專家家審查會(huì)會(huì)，與會(huì)會(huì)專家經(jīng)經(jīng)質(zhì)詢和和討論，，將標(biāo)準(zhǔn)準(zhǔn)正式命命名為《信息安全全技術(shù)信信息安安全風(fēng)險(xiǎn)險(xiǎn)評(píng)估規(guī)規(guī)范》，認(rèn)為該該標(biāo)準(zhǔn)達(dá)達(dá)到國(guó)家家標(biāo)準(zhǔn)送送審稿的的要求，，同意通通過評(píng)審審。會(huì)后，國(guó)國(guó)家信息息中心先先后與各各起草單單位和有有關(guān)專家家就標(biāo)準(zhǔn)準(zhǔn)規(guī)范報(bào)報(bào)批稿的的修改進(jìn)進(jìn)行了進(jìn)進(jìn)一步的的研討，，并逐一一落實(shí)了了專家提提出的意意見。262006年7月19日，全全國(guó)信息息安全標(biāo)標(biāo)準(zhǔn)化委委員會(huì)主主任辦公公會(huì)上討討論通過過了《信息安全全技術(shù)信信息息安全風(fēng)風(fēng)險(xiǎn)評(píng)估估規(guī)范》(報(bào)批稿),目前已進(jìn)進(jìn)入報(bào)批批程序。。27主要內(nèi)容容一、標(biāo)準(zhǔn)準(zhǔn)的編制制過程二、標(biāo)準(zhǔn)準(zhǔn)的主要要內(nèi)容三、下一一步工作作的幾點(diǎn)點(diǎn)思考28二、標(biāo)準(zhǔn)準(zhǔn)的主要要內(nèi)容1、什么是是風(fēng)險(xiǎn)評(píng)評(píng)估2、為什么么要做風(fēng)風(fēng)險(xiǎn)評(píng)估估3、風(fēng)險(xiǎn)評(píng)評(píng)估怎么么做29二、標(biāo)準(zhǔn)準(zhǔn)的主要要內(nèi)容1、什么是是風(fēng)險(xiǎn)評(píng)評(píng)估2、為什么么要做風(fēng)風(fēng)險(xiǎn)評(píng)估估3、風(fēng)險(xiǎn)評(píng)評(píng)估怎么么做301、什么是是風(fēng)險(xiǎn)評(píng)評(píng)估信息安全全風(fēng)險(xiǎn)人為或自自然的威威脅利用用信息系系統(tǒng)及其其管理體體系中存存在的脆脆弱性導(dǎo)導(dǎo)致安全全事件的的發(fā)生及及其對(duì)組組織造成成的影響響。信息安全全風(fēng)險(xiǎn)評(píng)評(píng)估依據(jù)有關(guān)關(guān)信息安安全技術(shù)術(shù)與管理理標(biāo)準(zhǔn)，，對(duì)信息息系統(tǒng)及及由其處處理、傳傳輸和存存儲(chǔ)的信信息的保保密性、、完整性性和可用用性等安安全屬性性進(jìn)行評(píng)評(píng)價(jià)的過過程。它它要評(píng)估估資產(chǎn)面面臨的威威脅以及及威脅利利用脆弱弱性導(dǎo)致致安全事事件的可可能性，，并結(jié)合合安全事事件所涉涉及的資資產(chǎn)價(jià)值值來判斷斷安全事事件一旦旦發(fā)生對(duì)對(duì)組織造造成的影影響。31風(fēng)險(xiǎn)評(píng)估估要素關(guān)關(guān)系圖圖中方框框部分的的內(nèi)容為為風(fēng)險(xiǎn)評(píng)評(píng)估的基基本要素素;橢圓部分分的內(nèi)容容是與這這些要素素相關(guān)的的屬性。。風(fēng)險(xiǎn)評(píng)估估圍繞著著基本要要素展開開，同時(shí)時(shí)需要充充分考慮慮與基本本要素相相關(guān)的各各類屬性性。（1）業(yè)務(wù)戰(zhàn)戰(zhàn)略的實(shí)實(shí)現(xiàn)對(duì)資資產(chǎn)具有有依賴性性，依賴賴程度越越高，要要求其風(fēng)風(fēng)險(xiǎn)越小?。唬?）資產(chǎn)是是有價(jià)值值的，組組織的業(yè)業(yè)務(wù)戰(zhàn)略略對(duì)資產(chǎn)產(chǎn)的依賴賴程度越越高，資資產(chǎn)價(jià)值值就越大大；（3）風(fēng)險(xiǎn)是是由威脅脅引發(fā)的的，資產(chǎn)產(chǎn)面臨的的威脅越越多則風(fēng)風(fēng)險(xiǎn)越大大，并可可能演變變成安全全事件；；（4）資產(chǎn)的的脆弱性性可以暴暴露資產(chǎn)產(chǎn)的價(jià)值值，資產(chǎn)產(chǎn)具有的的弱點(diǎn)越越多則風(fēng)風(fēng)險(xiǎn)越大大；（5）脆弱性性是未被被滿足的的安全需需求，威威脅利用用脆弱性性危害資資產(chǎn)；（6）風(fēng)險(xiǎn)的的存在及及對(duì)風(fēng)險(xiǎn)險(xiǎn)的認(rèn)識(shí)識(shí)導(dǎo)出安安全需求求；（7）安全需需求可通通過安全全措施得得以滿足足，需要要結(jié)合資資產(chǎn)價(jià)值值考慮實(shí)實(shí)施成本本；（8）安全措措施可抵抵御威脅脅，降低低風(fēng)險(xiǎn)；；（9）殘余風(fēng)風(fēng)險(xiǎn)是未未被安全全措施控控制的風(fēng)風(fēng)險(xiǎn)。有有些是安安全措施施不當(dāng)或或無效,需要加強(qiáng)強(qiáng)才可控控制的風(fēng)風(fēng)險(xiǎn)；而而有些則則是在綜綜合考慮慮了安全全成本與與效益后后未去控控制的風(fēng)風(fēng)險(xiǎn)；（10）殘余風(fēng)風(fēng)險(xiǎn)應(yīng)受受到密切切監(jiān)視，，它可能能會(huì)在將將來誘發(fā)發(fā)新的安安全事件件。32二、標(biāo)準(zhǔn)準(zhǔn)的主要要內(nèi)容1、什么是是風(fēng)險(xiǎn)評(píng)評(píng)估2、為什么么要做風(fēng)風(fēng)險(xiǎn)評(píng)估估3、風(fēng)險(xiǎn)評(píng)評(píng)估怎么么做332、為什么么要做風(fēng)風(fēng)險(xiǎn)評(píng)估估安全源于風(fēng)風(fēng)險(xiǎn)。在信息化化建設(shè)中中，建設(shè)設(shè)與運(yùn)營(yíng)營(yíng)的網(wǎng)絡(luò)絡(luò)與信息息系統(tǒng)由由于可能能存在的的系統(tǒng)設(shè)設(shè)計(jì)缺陷陷、隱含含于軟硬硬件設(shè)備備的缺陷陷、系統(tǒng)統(tǒng)集成時(shí)時(shí)帶來的的缺陷，，以及可可能存在在的某些些管理薄薄弱環(huán)節(jié)節(jié)，尤其其當(dāng)網(wǎng)絡(luò)絡(luò)與信息息系統(tǒng)中中擁有極極為重要要的信息息資產(chǎn)時(shí)時(shí)，都將將使得面面臨復(fù)雜雜環(huán)境的的網(wǎng)絡(luò)與與信息系系統(tǒng)潛在在著若干干不同程程度的安安全風(fēng)險(xiǎn)險(xiǎn)。34風(fēng)險(xiǎn)評(píng)估可可以不斷斷深入地地發(fā)現(xiàn)系系統(tǒng)建設(shè)設(shè)中的安安全隱患患，采取或完完善更加加經(jīng)濟(jì)有有效的安安全保障障措施，，來消除安全全建設(shè)中中的盲目目樂觀或或盲目恐恐懼，提提出有針針對(duì)性的的從實(shí)際際出發(fā)的的解決方方法，提提高系統(tǒng)統(tǒng)安全的的科學(xué)管管理水平平，進(jìn)而而全面提提升網(wǎng)絡(luò)絡(luò)與信息息系統(tǒng)的的安全保保障能力力。35信息安全風(fēng)風(fēng)險(xiǎn)評(píng)估估，是從從風(fēng)險(xiǎn)管管理角度度，運(yùn)用用科學(xué)的的方法和和手段，，系統(tǒng)地地分析網(wǎng)網(wǎng)絡(luò)與信信息系統(tǒng)統(tǒng)所面臨臨的威脅脅及其存存在的脆脆弱性，，評(píng)估安安全事件件一旦發(fā)發(fā)生可能能造成的的危害程程度，提提出有針針對(duì)性的的抵御威威脅的防防護(hù)對(duì)策策和整改改措施。。并為防防范和化化解信息息安全風(fēng)風(fēng)險(xiǎn)，或或者將風(fēng)風(fēng)險(xiǎn)控制制在可接接受的水水平，從從而最大大限度地地保障網(wǎng)網(wǎng)絡(luò)和信信息安全全提供科科學(xué)依據(jù)據(jù)。（國(guó)信辦辦[2006]5號(hào)文件））36二、標(biāo)準(zhǔn)準(zhǔn)的主要要內(nèi)容1、什么是是風(fēng)險(xiǎn)評(píng)評(píng)估2、為什么么要做風(fēng)風(fēng)險(xiǎn)評(píng)估估3、風(fēng)險(xiǎn)險(xiǎn)評(píng)估估怎么么做373、風(fēng)險(xiǎn)險(xiǎn)評(píng)估估怎么么做-風(fēng)險(xiǎn)評(píng)評(píng)估實(shí)實(shí)施流流程-風(fēng)險(xiǎn)評(píng)評(píng)估的的形式式-信息系系統(tǒng)生生命周周期各各階段段的風(fēng)風(fēng)險(xiǎn)評(píng)評(píng)估383、風(fēng)險(xiǎn)險(xiǎn)評(píng)估估怎么么做-風(fēng)險(xiǎn)評(píng)評(píng)估實(shí)實(shí)施流流程-風(fēng)險(xiǎn)評(píng)評(píng)估的的形式式-信息系系統(tǒng)生生命周周期各各階段段的風(fēng)風(fēng)險(xiǎn)評(píng)評(píng)估39風(fēng)險(xiǎn)評(píng)評(píng)估的的實(shí)施施流程程先期準(zhǔn)準(zhǔn)備要素分分析風(fēng)險(xiǎn)分分析文檔記記錄風(fēng)險(xiǎn)評(píng)評(píng)估實(shí)實(shí)施流流程圖圖40實(shí)施步步驟(1)風(fēng)險(xiǎn)評(píng)評(píng)估的的準(zhǔn)備備(2)資產(chǎn)識(shí)識(shí)別(3)威脅識(shí)識(shí)別(4)脆弱性性識(shí)別別(5)已有安安全措措施的的確認(rèn)認(rèn)(6)風(fēng)險(xiǎn)分分析(7)風(fēng)險(xiǎn)評(píng)估文文件記錄413、風(fēng)險(xiǎn)評(píng)估估怎么做-風(fēng)險(xiǎn)評(píng)估實(shí)實(shí)施流程-風(fēng)險(xiǎn)評(píng)估的的形式-信息系統(tǒng)生生命周期各各階段的風(fēng)風(fēng)險(xiǎn)評(píng)估42信息安全風(fēng)險(xiǎn)險(xiǎn)評(píng)估分為為自評(píng)估、、檢查評(píng)估估兩種形式式。自評(píng)估估為主，自自評(píng)估和檢檢查評(píng)估相相互結(jié)合、、互為補(bǔ)充充。自評(píng)估估和檢查評(píng)評(píng)估可依托托自身技術(shù)術(shù)力量進(jìn)行行，也可委委托第三方方機(jī)構(gòu)提供供技術(shù)支持持。風(fēng)險(xiǎn)評(píng)估的的形式43自評(píng)估自評(píng)估可由發(fā)發(fā)起方實(shí)施施或委托風(fēng)風(fēng)險(xiǎn)評(píng)估服服務(wù)技術(shù)支支持方實(shí)施施。由發(fā)起起方實(shí)施的的評(píng)估可以以降低實(shí)施施的費(fèi)用、、提高信息息系統(tǒng)相關(guān)關(guān)人員的安安全意識(shí)，，但可能由由于缺乏風(fēng)風(fēng)險(xiǎn)評(píng)估的的專業(yè)技能能，其結(jié)果果不夠深入入準(zhǔn)確；同同時(shí)，受到到組織內(nèi)部部各種因素素的影響，，其評(píng)估結(jié)結(jié)果的客觀觀性易受影影響。委托托風(fēng)險(xiǎn)評(píng)估估服務(wù)技術(shù)術(shù)支持方實(shí)實(shí)施的評(píng)估估，過程比比較規(guī)范、、評(píng)估結(jié)果果的客觀性性比較好，，可信程度度較高；但但由于受到到行業(yè)知識(shí)識(shí)技能及業(yè)業(yè)務(wù)了解的的限制，對(duì)對(duì)被評(píng)估系系統(tǒng)的了解解，尤其是是在業(yè)務(wù)方方面的特殊殊要求存在在一定的局局限。但由由于引入第第三方本身身就是一個(gè)個(gè)風(fēng)險(xiǎn)因素素，因此，，對(duì)其背景景與資質(zhì)、、評(píng)估過程程與結(jié)果的的保密要求求等方面應(yīng)應(yīng)進(jìn)行控制制。44自評(píng)估中的的“自”不不僅僅是指指自已做評(píng)評(píng)估的“自自”，也不不僅僅是指指自愿做評(píng)評(píng)估的“自自”。由于于“誰主管管誰負(fù)責(zé)””，出于對(duì)對(duì)自身信息息系統(tǒng)的安安全責(zé)任考考慮，信息息系統(tǒng)主管管者應(yīng)定期期對(duì)系統(tǒng)進(jìn)進(jìn)行風(fēng)險(xiǎn)評(píng)評(píng)估，具體體實(shí)施時(shí)可可以依托自自身的評(píng)估估隊(duì)伍進(jìn)行行，也可委委托有資質(zhì)質(zhì)的第三方方提供評(píng)估估服務(wù)技術(shù)術(shù)支持，但但無論是哪哪一種形式式，責(zé)任都都是由信息息系統(tǒng)主管管者自已擔(dān)擔(dān)負(fù)的。因因此，自評(píng)評(píng)估中的““自”的含含義是自已已負(fù)責(zé)的““自”。包包括自已負(fù)負(fù)責(zé)系統(tǒng)的的安全、自自己發(fā)起對(duì)對(duì)信息系統(tǒng)統(tǒng)的風(fēng)險(xiǎn)評(píng)評(píng)估以及自自己負(fù)責(zé)為為保障系統(tǒng)統(tǒng)安全所做做的風(fēng)險(xiǎn)評(píng)評(píng)估的安全全等。45此外，為保保證風(fēng)險(xiǎn)評(píng)評(píng)估的實(shí)施施，與系統(tǒng)統(tǒng)相連的相相關(guān)方也應(yīng)應(yīng)配合，以以防止給其其他方的使使用帶來困困難或引入入新的風(fēng)險(xiǎn)險(xiǎn)也往往較較多，因此此，要對(duì)實(shí)實(shí)施檢查評(píng)評(píng)估機(jī)構(gòu)的的資質(zhì)進(jìn)行行嚴(yán)格管理理。46檢查評(píng)估檢查評(píng)估是指指信息系統(tǒng)統(tǒng)上級(jí)管理理部門組織織的或國(guó)家家有關(guān)職能能部門依法法開展的風(fēng)風(fēng)險(xiǎn)評(píng)估。。檢查評(píng)估估可依據(jù)據(jù)本標(biāo)準(zhǔn)準(zhǔn)的要求求，實(shí)施施完整的的風(fēng)險(xiǎn)評(píng)評(píng)估過程程。47一是風(fēng)險(xiǎn)險(xiǎn)評(píng)估究究其根本本是評(píng)估估系統(tǒng)的的敏感信信息，涉涉及大量量的安全全問題，，完全委委托第三三方將帶帶來評(píng)估估本身的的風(fēng)險(xiǎn)；；二是進(jìn)行行風(fēng)險(xiǎn)評(píng)評(píng)估要求求評(píng)估人人員既要要了解評(píng)評(píng)估本身身的一套套方法與與流程，，還要了了解被評(píng)評(píng)估系統(tǒng)統(tǒng)的業(yè)務(wù)務(wù)特性，，這對(duì)于于完全從從事評(píng)估估的第三三方來講講，在短短時(shí)間內(nèi)內(nèi)了解每每個(gè)系統(tǒng)統(tǒng)的業(yè)務(wù)務(wù)特性難難度是比比較大的的；三是風(fēng)險(xiǎn)險(xiǎn)評(píng)估工工作流程程中常常常要求被被評(píng)估方方向評(píng)估估方提供供各種信信息，需需要之間間的良好好互動(dòng)以以及多方方會(huì)商，，單靠評(píng)評(píng)估方第第三方是是無法完完成系統(tǒng)統(tǒng)評(píng)估的的?；谝陨仙显?，，委托評(píng)評(píng)估技術(shù)術(shù)支持比比委托評(píng)評(píng)估的提提法更為為切合實(shí)實(shí)際。并并且，提提供委托托評(píng)估技技術(shù)支持持的機(jī)構(gòu)構(gòu)應(yīng)具有有相應(yīng)的的資質(zhì)。。483、風(fēng)險(xiǎn)評(píng)評(píng)估怎么么做-風(fēng)險(xiǎn)評(píng)估估實(shí)施流流程-風(fēng)險(xiǎn)評(píng)估估的形式式-信息系統(tǒng)統(tǒng)生命周周期各階階段的風(fēng)風(fēng)險(xiǎn)評(píng)估估49國(guó)信辦[2006]5號(hào)文件指指出：信息安全全風(fēng)險(xiǎn)評(píng)估估應(yīng)貫穿穿于網(wǎng)絡(luò)絡(luò)與信息息系統(tǒng)建建設(shè)運(yùn)行行的全過過程。在在網(wǎng)絡(luò)與與信息系系統(tǒng)的設(shè)設(shè)計(jì)、驗(yàn)驗(yàn)收及運(yùn)運(yùn)行維護(hù)護(hù)階段均均應(yīng)當(dāng)進(jìn)進(jìn)行信息息安全風(fēng)風(fēng)險(xiǎn)評(píng)估估。如在在網(wǎng)絡(luò)與與信息系系統(tǒng)規(guī)劃劃設(shè)計(jì)階階段，應(yīng)應(yīng)通過信信息安全全風(fēng)險(xiǎn)評(píng)評(píng)估進(jìn)一一步明確確安全需需求和安安全目標(biāo)標(biāo)。50信息系統(tǒng)統(tǒng)生命周周期各階階段的風(fēng)風(fēng)險(xiǎn)評(píng)估估規(guī)劃階段段的風(fēng)險(xiǎn)險(xiǎn)評(píng)估設(shè)計(jì)階段段的風(fēng)險(xiǎn)險(xiǎn)評(píng)估實(shí)施階段段的風(fēng)險(xiǎn)險(xiǎn)評(píng)估運(yùn)行維護(hù)護(hù)階段的的風(fēng)險(xiǎn)評(píng)評(píng)估廢棄階段段的風(fēng)險(xiǎn)險(xiǎn)評(píng)估51規(guī)劃階段段的風(fēng)險(xiǎn)險(xiǎn)評(píng)估規(guī)劃階段風(fēng)風(fēng)險(xiǎn)評(píng)估估的目的的是識(shí)別別系統(tǒng)的的業(yè)務(wù)戰(zhàn)戰(zhàn)略，以以支撐系系統(tǒng)安全全需求及及安全戰(zhàn)戰(zhàn)略等。。規(guī)劃階階段的評(píng)評(píng)估應(yīng)能能夠描述述信息系系統(tǒng)建成成后對(duì)現(xiàn)現(xiàn)有業(yè)務(wù)務(wù)模式的的作用，，包括技技術(shù)、管管理等方方面，并并根據(jù)其其作用確確定系統(tǒng)統(tǒng)建設(shè)應(yīng)應(yīng)達(dá)到的的安全目目標(biāo)。52設(shè)計(jì)階階段的的風(fēng)險(xiǎn)險(xiǎn)評(píng)估估設(shè)計(jì)階段段的風(fēng)風(fēng)險(xiǎn)評(píng)評(píng)估需需要根根據(jù)規(guī)規(guī)劃階階段所所明確確的系系統(tǒng)運(yùn)運(yùn)行環(huán)環(huán)境、、資產(chǎn)產(chǎn)重要要性，，提出出安全全功能能需求求。設(shè)設(shè)計(jì)階階段的的風(fēng)險(xiǎn)險(xiǎn)評(píng)估估結(jié)果果應(yīng)對(duì)對(duì)設(shè)計(jì)計(jì)方案案中所所提供供的安安全功功能符符合性性進(jìn)行行判斷斷，作作為采采購(gòu)過過程風(fēng)風(fēng)險(xiǎn)控控制的的依據(jù)據(jù)。53實(shí)施階階段的的風(fēng)險(xiǎn)險(xiǎn)評(píng)估估實(shí)施階段段風(fēng)險(xiǎn)險(xiǎn)評(píng)估估的目目的是是根據(jù)據(jù)系統(tǒng)統(tǒng)安全全需求求和運(yùn)運(yùn)行環(huán)環(huán)境對(duì)對(duì)系統(tǒng)統(tǒng)開發(fā)發(fā)、實(shí)實(shí)施過過程進(jìn)進(jìn)行風(fēng)風(fēng)險(xiǎn)識(shí)識(shí)別，，并對(duì)對(duì)系統(tǒng)統(tǒng)建成成后的的安全全功能能進(jìn)行行驗(yàn)證證。根根據(jù)設(shè)設(shè)計(jì)階階段分分析的的威脅脅和制制定的的安全全措施施，在在實(shí)施施及驗(yàn)驗(yàn)收時(shí)時(shí)進(jìn)行行質(zhì)量量控制制?；谠O(shè)設(shè)計(jì)階階段的的資產(chǎn)產(chǎn)列表表、安安全措措施，，實(shí)施施階段段應(yīng)對(duì)對(duì)規(guī)劃劃階段段的安安全威威脅進(jìn)進(jìn)行進(jìn)進(jìn)一步步細(xì)分分，同同時(shí)評(píng)評(píng)估安安全措措施的的實(shí)現(xiàn)現(xiàn)程度度，從從而確確定安安全措措施能能否抵抵御現(xiàn)現(xiàn)有威威脅、、脆弱弱性的的影響響。實(shí)實(shí)施階階段風(fēng)風(fēng)險(xiǎn)評(píng)評(píng)估主主要對(duì)對(duì)系統(tǒng)統(tǒng)的開開發(fā)與與技術(shù)術(shù)/產(chǎn)品獲獲取、、系統(tǒng)統(tǒng)交付付實(shí)施施兩個(gè)個(gè)過程程進(jìn)行行評(píng)估估。54運(yùn)行維維護(hù)階階段的的風(fēng)險(xiǎn)險(xiǎn)評(píng)估估運(yùn)行維維護(hù)階階段風(fēng)風(fēng)險(xiǎn)評(píng)評(píng)估的的目的的是了了解和和控制制運(yùn)行行過程程中的的安全全風(fēng)險(xiǎn)險(xiǎn)，是是一種種較為為全面面的風(fēng)風(fēng)險(xiǎn)評(píng)評(píng)估。。評(píng)估估內(nèi)容容包括括對(duì)真真實(shí)運(yùn)運(yùn)行的的信息息系統(tǒng)統(tǒng)、資資產(chǎn)、、威脅脅、脆脆弱性性等各各方面面。資產(chǎn)評(píng)評(píng)估：：在真真實(shí)環(huán)環(huán)境下下較為為細(xì)致致的評(píng)評(píng)估。。包括括實(shí)施施階段段采購(gòu)購(gòu)的軟軟硬件件資產(chǎn)產(chǎn)、系系統(tǒng)運(yùn)運(yùn)行過過程中中生成成的信信息資資產(chǎn)、、相關(guān)關(guān)的人人員與與服務(wù)務(wù)等，，本階階段資資產(chǎn)識(shí)識(shí)別是是前期期資產(chǎn)產(chǎn)識(shí)別別的補(bǔ)補(bǔ)充與與增加加；威脅評(píng)評(píng)估：：應(yīng)全全面地地分析析威脅脅的可可能性性和影影響程程度。。對(duì)非非故意意威脅脅導(dǎo)致致安全全事件件的評(píng)評(píng)估可可以參參照安安全事事件的的發(fā)生生頻率率；對(duì)對(duì)故意意威脅脅導(dǎo)致致安全全事件件的評(píng)評(píng)估主主要就就威脅脅的各各個(gè)影影響因因素做做出專專業(yè)判判斷；；脆弱性評(píng)評(píng)估：是是全面的的脆弱性性評(píng)估。。包括運(yùn)運(yùn)行環(huán)境境中物理理、網(wǎng)絡(luò)絡(luò)、系統(tǒng)統(tǒng)、應(yīng)用用、安全全保障設(shè)設(shè)備、管管理等各各方面的的脆弱性性。技術(shù)術(shù)脆弱性性評(píng)估可可以采取取核查、、掃描、、案例驗(yàn)驗(yàn)證、滲滲透性測(cè)測(cè)試的方方式實(shí)施施；安全全保障設(shè)設(shè)備的脆脆弱性評(píng)評(píng)估，應(yīng)應(yīng)考慮安安全功能能的實(shí)現(xiàn)現(xiàn)情況和和安全保保障設(shè)備備本身的的脆弱性性；管理理脆弱性性評(píng)估可可以采取取文檔、、記錄核核查等方方式進(jìn)行行驗(yàn)證；；風(fēng)險(xiǎn)計(jì)算算：根據(jù)據(jù)本標(biāo)準(zhǔn)準(zhǔn)的相關(guān)關(guān)方法，，對(duì)重要要資產(chǎn)的的風(fēng)險(xiǎn)進(jìn)進(jìn)行定性性或定量