信息安全風(fēng)險(xiǎn)評估國家標(biāo)準(zhǔn)編制

1信息安全風(fēng)險(xiǎn)評估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹2主要內(nèi)容一、標(biāo)準(zhǔn)的編制過程二、標(biāo)準(zhǔn)的主要內(nèi)容三、下一步工作的幾點(diǎn)思考3主要內(nèi)容一、標(biāo)準(zhǔn)的編制過程二、標(biāo)準(zhǔn)的主要內(nèi)容三、下一步工作的幾點(diǎn)思考4一、標(biāo)準(zhǔn)的編制過程1、前期研究準(zhǔn)備2、標(biāo)準(zhǔn)草案編制3、試點(diǎn)實(shí)踐檢驗(yàn)4、專家評審論證5一、標(biāo)準(zhǔn)的編制過程1、前期研究準(zhǔn)備2、標(biāo)準(zhǔn)草案編制3、試點(diǎn)實(shí)踐檢驗(yàn)4、專家評審論證6

1、前期研究準(zhǔn)備

2003年7月,中辦發(fā)[2003]27號文件對開展信息安全風(fēng)險(xiǎn)評估工作提出了明確的要求。國信辦委托國家信息中心牽頭，成立了國家信息安全風(fēng)險(xiǎn)評估課題組，對信息安全風(fēng)險(xiǎn)評估相關(guān)工作展開調(diào)查研究。課題組利用半年多的時(shí)間，對我國信息安全風(fēng)險(xiǎn)評估現(xiàn)狀進(jìn)行了深入調(diào)查，掌握了第一手情況；對國內(nèi)外相關(guān)領(lǐng)域的理論進(jìn)行了學(xué)習(xí)、分析和研究，查閱了大量的相關(guān)資料，基本了解了此領(lǐng)域的國際前沿動(dòng)態(tài)。這些都為標(biāo)準(zhǔn)編制工作奠定了良好的基礎(chǔ)。7

統(tǒng)一的風(fēng)險(xiǎn)評估技術(shù)標(biāo)準(zhǔn)是規(guī)范開展信息安全風(fēng)險(xiǎn)評估工作的必備條件。落實(shí)中辦發(fā)27號文件、全面推進(jìn)我國的信息安全風(fēng)險(xiǎn)評估工作，首先就必須解決我國缺乏統(tǒng)一的風(fēng)險(xiǎn)評估技術(shù)標(biāo)準(zhǔn)的問題。為此，國信辦領(lǐng)導(dǎo)根據(jù)專家們的建議，決定著手開展信息安全風(fēng)險(xiǎn)評估國家標(biāo)準(zhǔn)的編制工作及相關(guān)實(shí)踐活動(dòng)。旨在通過這項(xiàng)工作更好地加強(qiáng)國家基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)的風(fēng)險(xiǎn)評估及管理工作，使其流程更加科學(xué)、統(tǒng)一、規(guī)范、有效。8一、標(biāo)準(zhǔn)的編制過程1、前期研究準(zhǔn)備2、標(biāo)準(zhǔn)草案編制3、試點(diǎn)實(shí)踐檢驗(yàn)4、專家評審論證9

根據(jù)國信辦的指示和信安標(biāo)委的具體要求，國家信息中心組織國家保密技術(shù)研究所、公安部三所、北京信息安全測評中心、上海市測評認(rèn)證中心、信息安全國家重點(diǎn)實(shí)驗(yàn)室以及BJCA、上海三零衛(wèi)士、聯(lián)想、天融信、啟明星辰、綠盟、科飛、凝瑞等國內(nèi)十幾家企事業(yè)單位于2004年3月29日正式啟動(dòng)標(biāo)準(zhǔn)草案的編制工作。此后，中國信息安全產(chǎn)品測評認(rèn)證中心、解放軍信息技術(shù)安全研究中心、航天部二院七O六所等單位也參與了標(biāo)準(zhǔn)的編制與起草。起草組在前期準(zhǔn)備工作的基礎(chǔ)上，經(jīng)過多次研究探討，確定了編制標(biāo)準(zhǔn)應(yīng)遵循的原則:

2、標(biāo)準(zhǔn)草案編制10

1、符合我國現(xiàn)行的信息安全有關(guān)法律法規(guī)的要求，認(rèn)真貫徹落實(shí)27號文件關(guān)于加強(qiáng)信息安全風(fēng)險(xiǎn)評估工作的精神；

2、立足于我國信息化建設(shè)實(shí)踐，積極借鑒國際先進(jìn)標(biāo)準(zhǔn)的技術(shù)，提出符合我國基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)工程建設(shè)需求的風(fēng)險(xiǎn)評估規(guī)范；

3、針對網(wǎng)絡(luò)與信息系統(tǒng)的全生命周期，制訂適應(yīng)不同階段特點(diǎn)和要求的風(fēng)險(xiǎn)評估實(shí)施方法；

4、積極吸收信息安全有關(guān)主管部門和單位在等級保護(hù)、保密檢查和產(chǎn)品測評等工作的經(jīng)驗(yàn)與成果；

5、標(biāo)準(zhǔn)文本體系結(jié)構(gòu)科學(xué)合理，表述清晰，具有可實(shí)現(xiàn)性和可操作性。

11在標(biāo)準(zhǔn)編制的過過程中，標(biāo)準(zhǔn)準(zhǔn)起草組多次次與相關(guān)主管管部門所屬機(jī)機(jī)構(gòu)的專家代代表就技術(shù)標(biāo)標(biāo)準(zhǔn)有關(guān)主體體內(nèi)容進(jìn)行會會商；向相關(guān)單位發(fā)發(fā)放標(biāo)準(zhǔn)文本本，通過電子郵件件等形式廣泛泛征求業(yè)界意意見；召開標(biāo)標(biāo)準(zhǔn)討論會議議三十幾次，，共收集100多條修改意見見。起草組逐一對對修改意見進(jìn)進(jìn)行研究，在在充分吸納合合理成份的基基礎(chǔ)上，對《信息安全風(fēng)險(xiǎn)險(xiǎn)評估規(guī)范》等標(biāo)準(zhǔn)進(jìn)行了了較大幅度的的修改，使標(biāo)標(biāo)準(zhǔn)的體系結(jié)結(jié)構(gòu)更趨完善善、合理。12一、標(biāo)準(zhǔn)的制制定過程1、前期研究準(zhǔn)準(zhǔn)備2、標(biāo)準(zhǔn)草案編制制3、試點(diǎn)實(shí)踐檢檢驗(yàn)4、專家評審論論證133、試點(diǎn)實(shí)踐檢檢驗(yàn)2005年2月,根據(jù)國信辦[2005]4號和5號文件，關(guān)于于在銀行、稅稅務(wù)、電力等等部門和電子子政務(wù)外網(wǎng)，，以及北京、、上海、黑龍龍江、云南等等省市，開展展信息安全風(fēng)風(fēng)險(xiǎn)評估試點(diǎn)點(diǎn)工作的要求求，標(biāo)準(zhǔn)起草草組配合風(fēng)險(xiǎn)險(xiǎn)評估試點(diǎn)工工作專家組開開展了以下工工作：--為各試點(diǎn)單單位提供標(biāo)標(biāo)準(zhǔn)草案文文本和相關(guān)關(guān)說明；--在試點(diǎn)準(zhǔn)備備階段與各各試點(diǎn)單位位的技術(shù)骨骨干進(jìn)行標(biāo)標(biāo)準(zhǔn)技術(shù)交流流；--根據(jù)標(biāo)準(zhǔn)草草案文本涉涉及的關(guān)鍵鍵技術(shù)，起起草組成員員選擇試點(diǎn)環(huán)環(huán)節(jié)參與實(shí)實(shí)際試點(diǎn)；；--在試點(diǎn)過程程中，先后后幾次召開開標(biāo)準(zhǔn)研討討會，征求求各單位對標(biāo)標(biāo)準(zhǔn)的意見見與建議。。14整個(gè)試點(diǎn)工作作歷時(shí)7個(gè)月，各試點(diǎn)單位位對標(biāo)準(zhǔn)草草案先后提提出40多條補(bǔ)充修修改意見，，標(biāo)準(zhǔn)起草草組根據(jù)試點(diǎn)結(jié)結(jié)果先后進(jìn)行了了三次較大大規(guī)模的修修改。主要要內(nèi)容包括括：--細(xì)化了資產(chǎn)產(chǎn)的分類方方法、脆弱弱性的識別別要求，修修改并細(xì)化了了風(fēng)險(xiǎn)計(jì)算算的方法；；--對自評估、、檢查評估估不同評估估形式的內(nèi)內(nèi)容與實(shí)施施的重點(diǎn)進(jìn)行行了區(qū)分；；--對風(fēng)險(xiǎn)評估估的工具進(jìn)進(jìn)行了梳理理和區(qū)分，，形成了現(xiàn)現(xiàn)在的幾種類類型；--細(xì)化了生命命周期不同同階段風(fēng)險(xiǎn)險(xiǎn)評估的主主要內(nèi)容。。試點(diǎn)實(shí)踐證證明，試行行標(biāo)準(zhǔn)基本本滿足各試試點(diǎn)單位評評估工作的的需求。15一、標(biāo)準(zhǔn)的的制定過程程1、前期研究究準(zhǔn)備2、標(biāo)準(zhǔn)草案編編制3、試點(diǎn)實(shí)踐踐檢驗(yàn)4、專家評審審論證162005年9月16日，國家信信息中心在在北京組織織召開了由周仲義義院士主持持的《信息安全風(fēng)風(fēng)險(xiǎn)評估指指南（征求求意見稿）》第一次專家家評審會。。4、專家評審審論證17第一次專家家評審會名名單姓名單位職務(wù)/職稱周仲義中國工程院院士熊四皓國務(wù)院信息辦處長王娜國家發(fā)改委高科技司處長姚世權(quán)中國標(biāo)準(zhǔn)化協(xié)會研究員賈穎禾全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會副秘書長/研究員崔書昆國家信息化專家咨詢委員會委員/研究員景乾元公安部十一局處長李建彬國稅總局信息中心副處長張宏偉黑龍江省信息產(chǎn)業(yè)廳處長姚麗旋上海市信息化管理委員會處長肖京華總參三部三局處長馮惠中國電子技術(shù)標(biāo)準(zhǔn)化研究所副主任/高工吳偉國家電網(wǎng)公司處長詹榜華北京市CA中心總經(jīng)理182005年10月27日，國家信信息中心在在北京組織織召開了信信息安全風(fēng)風(fēng)險(xiǎn)評估國國家標(biāo)準(zhǔn)征征求意見稿稿的第二次次專家評審審會。19第二次專家家評審會名名單姓名單位職務(wù)/職稱何義大全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會副主任趙戰(zhàn)生國家信息化咨詢委員會研究員曲成義國家信息化咨詢委員會研究員馮登國信息安全863項(xiàng)目專家組組長研究員陳曉樺中國信息安全產(chǎn)品測評認(rèn)證中心研究員崔書昆國家信息化咨詢委員會研究員景乾元公安部十一局處長肖京華解放軍信息安全測評中心處長賈穎禾全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會副秘書長李守鵬中國信息安全產(chǎn)品測評認(rèn)證中心副主任王同良中石油經(jīng)濟(jì)技術(shù)中心副主任江志強(qiáng)民航總局人事科技司處長謝小權(quán)航天科技集團(tuán)706所副所長呂仲濤中國工商銀行總行信息科技部總工20與會專家認(rèn)為為標(biāo)準(zhǔn)起草草組做了大大量卓有成成效的工作作，標(biāo)準(zhǔn)的的結(jié)構(gòu)合理理、內(nèi)容完完備、可操操作性強(qiáng)，，并充分考考慮與信息息安全等級級保護(hù)相關(guān)關(guān)標(biāo)準(zhǔn)相銜銜接。文本本的編制符符合國家標(biāo)標(biāo)準(zhǔn)的要求求。同時(shí)，，專家們也也對完善標(biāo)標(biāo)準(zhǔn)提出了了進(jìn)一步的的修改意見見。212005年12月14日，由安標(biāo)標(biāo)委第五工工作組主持持召開了由由沈昌祥院院士為專家家組組長的的信息安全全風(fēng)險(xiǎn)評估估國家標(biāo)準(zhǔn)準(zhǔn)送審稿的的專家評審審會。22專家評審會會名單姓名單位職務(wù)/職稱沈昌祥海軍計(jì)算技術(shù)研究所院士吉增瑞公安部信息安全標(biāo)委會委員研究員趙戰(zhàn)生國家信息化咨詢委員會研究員卿斯?jié)h中科院信息安全技術(shù)工程研究中心研究員杜虹國家保密技術(shù)研究所所長景乾元公安部十一局處長崔書昆國家信息化咨詢委員會研究員23與會專家聽取取了起草小小組的編制制說明及內(nèi)內(nèi)容介紹，，審閱了相相關(guān)文檔資資料，經(jīng)質(zhì)質(zhì)詢和討論論，一致認(rèn)認(rèn)為：一、送審稿稿規(guī)范了風(fēng)風(fēng)險(xiǎn)評估的的評估內(nèi)容容與范圍、、基本概念念，明確了資產(chǎn)、威威脅、脆弱弱性和安全全風(fēng)險(xiǎn)等關(guān)關(guān)鍵要素及及其賦值原原則和要求，提出出了實(shí)施流流程與操作作步驟、評評估規(guī)則與與基本方法法，并充分考慮與與信息安全全等級保護(hù)護(hù)相關(guān)標(biāo)準(zhǔn)準(zhǔn)相銜接。。二、送審稿稿的操作性性較強(qiáng)，對對開展風(fēng)險(xiǎn)險(xiǎn)評估工作作具有指導(dǎo)導(dǎo)作用，并在國務(wù)院院信息辦組組織的風(fēng)險(xiǎn)險(xiǎn)評估試點(diǎn)點(diǎn)中得到了了進(jìn)一步的的實(shí)踐驗(yàn)證和充實(shí)實(shí)完善。三、文本的的編制符合合國家標(biāo)準(zhǔn)準(zhǔn)GB1.1的要求。專家組認(rèn)為為送審稿達(dá)達(dá)到國家標(biāo)標(biāo)準(zhǔn)送審稿稿的要求，，同意通過過評審。建議起起草組根據(jù)據(jù)專家意見見盡快修改改完善后申申報(bào)。242006年３月６日日和３月１１６日，在在國信辦進(jìn)進(jìn)行的行業(yè)和省市市的風(fēng)險(xiǎn)評評估政策文文件的兩次次宣貫會上上，信息安安全風(fēng)險(xiǎn)評估征征求意見稿稿以國信辦辦文件的形形式下發(fā)，，為各行業(yè)業(yè)和省市開展風(fēng)風(fēng)險(xiǎn)評估提提供技術(shù)依依據(jù)。252006年4月18日，全國信信息安全標(biāo)標(biāo)準(zhǔn)化技術(shù)術(shù)委員（安標(biāo)委））會第五工工作組（WG5）在北京召召開全體工工作組成員員標(biāo)準(zhǔn)投票會會議，對信信息安全風(fēng)風(fēng)險(xiǎn)評估國國家標(biāo)準(zhǔn)送送審稿進(jìn)行行工作組全體成成員投票表表決。與會會的三十幾幾位專家聽聽取了標(biāo)準(zhǔn)準(zhǔn)起草組對《指南》的編制過程程以及主要要內(nèi)容的介介紹，經(jīng)投投票一致通過了標(biāo)標(biāo)準(zhǔn)的評審審。262006年6月19日，全國信信息安全標(biāo)標(biāo)準(zhǔn)化技術(shù)術(shù)委員會秘秘書處在北北京組織召召開了信息息安全風(fēng)險(xiǎn)險(xiǎn)評估標(biāo)準(zhǔn)準(zhǔn)送審稿的的專家審查查會，與會會專家經(jīng)質(zhì)質(zhì)詢和討論論，將標(biāo)準(zhǔn)準(zhǔn)正式命名名為《信息安全技技術(shù)信信息安安全風(fēng)險(xiǎn)評評估規(guī)范》，認(rèn)為該標(biāo)標(biāo)準(zhǔn)達(dá)到國國家標(biāo)準(zhǔn)送送審稿的要要求，同意意通過評審審。會后，國家家信息中心心先后與各各起草單位位和有關(guān)專專家就標(biāo)準(zhǔn)準(zhǔn)規(guī)范報(bào)批批稿的修改改進(jìn)行了進(jìn)進(jìn)一步的研研討，并逐逐一落實(shí)了了專家提出出的意見。。272006年7月19日，全國國信息安全全標(biāo)準(zhǔn)化委委員會主任任辦公會上上討論通過過了《信息安全技技術(shù)信信息安全風(fēng)風(fēng)險(xiǎn)評估規(guī)規(guī)范》(報(bào)批稿),目前已進(jìn)入入報(bào)批程序序。28主要內(nèi)容一、標(biāo)準(zhǔn)的的編制過程程二、標(biāo)準(zhǔn)的的主要內(nèi)容容三、下一步步工作的幾幾點(diǎn)思考29二、標(biāo)準(zhǔn)的的主要內(nèi)容容1、什么是風(fēng)風(fēng)險(xiǎn)評估2、為什么要要做風(fēng)險(xiǎn)評評估3、風(fēng)險(xiǎn)評估估怎么做30二、標(biāo)準(zhǔn)的的主要內(nèi)容容1、什么是風(fēng)風(fēng)險(xiǎn)評估2、為什么要要做風(fēng)險(xiǎn)評評估3、風(fēng)險(xiǎn)評估估怎么做311、什么是風(fēng)風(fēng)險(xiǎn)評估信息安全風(fēng)風(fēng)險(xiǎn)人為或自然然的威脅利利用信息系系統(tǒng)及其管管理體系中中存在的脆脆弱性導(dǎo)致致安全事件件的發(fā)生及及其對組織織造成的影影響。信息安全風(fēng)風(fēng)險(xiǎn)評估依據(jù)有關(guān)信信息安全技技術(shù)與管理理標(biāo)準(zhǔn)，對對信息系統(tǒng)統(tǒng)及由其處處理、傳輸輸和存儲的的信息的保保密性、完完整性和可可用性等安安全屬性進(jìn)進(jìn)行評價(jià)的的過程。它它要評估資資產(chǎn)面臨的的威脅以及及威脅利用用脆弱性導(dǎo)導(dǎo)致安全事事件的可能能性，并結(jié)結(jié)合安全事事件所涉及及的資產(chǎn)價(jià)價(jià)值來判斷斷安全事件件一旦發(fā)生生對組織造造成的影響響。32風(fēng)險(xiǎn)評估要要素關(guān)系圖圖圖中方框部部分的內(nèi)容容為風(fēng)險(xiǎn)評評估的基本本要素;橢圓部分的的內(nèi)容是與與這些要素素相關(guān)的屬屬性。風(fēng)險(xiǎn)評估圍圍繞著基本本要素展開開，同時(shí)需需要充分考考慮與基本本要素相關(guān)關(guān)的各類屬屬性。（1）業(yè)務(wù)戰(zhàn)略略的實(shí)現(xiàn)對對資產(chǎn)具有有依賴性，，依賴程度度越高，要要求其風(fēng)險(xiǎn)險(xiǎn)越小；（2）資產(chǎn)是有有價(jià)值的，，組織的業(yè)業(yè)務(wù)戰(zhàn)略對對資產(chǎn)的依依賴程度越越高，資產(chǎn)產(chǎn)價(jià)值就越越大；（3）風(fēng)險(xiǎn)是由由威脅引發(fā)發(fā)的，資產(chǎn)產(chǎn)面臨的威威脅越多則則風(fēng)險(xiǎn)越大大，并可能能演變成安安全事件；；（4）資產(chǎn)的脆脆弱性可以以暴露資產(chǎn)產(chǎn)的價(jià)值，，資產(chǎn)具有有的弱點(diǎn)越越多則風(fēng)險(xiǎn)險(xiǎn)越大；（5）脆弱性是是未被滿足足的安全需需求，威脅脅利用脆弱弱性危害資資產(chǎn)；（6）風(fēng)險(xiǎn)的存存在及對風(fēng)風(fēng)險(xiǎn)的認(rèn)識識導(dǎo)出安全全需求；（7）安全需求求可通過安安全措施得得以滿足，，需要結(jié)合合資產(chǎn)價(jià)值值考慮實(shí)施施成本；（8）安全措施施可抵御威威脅，降低低風(fēng)險(xiǎn)；（9）殘余風(fēng)險(xiǎn)險(xiǎn)是未被安安全措施控控制的風(fēng)險(xiǎn)險(xiǎn)。有些是是安全措施施不當(dāng)或無無效,需要加強(qiáng)才才可控制的的風(fēng)險(xiǎn)；而而有些則是是在綜合考考慮了安全全成本與效效益后未去去控制的風(fēng)風(fēng)險(xiǎn)；（10）殘余風(fēng)險(xiǎn)險(xiǎn)應(yīng)受到密密切監(jiān)視，，它可能會會在將來誘誘發(fā)新的安安全事件。。33二、標(biāo)準(zhǔn)的的主要內(nèi)容容1、什么是風(fēng)風(fēng)險(xiǎn)評估2、為什么要要做風(fēng)險(xiǎn)評評估3、風(fēng)險(xiǎn)評估估怎么做342、為什么要要做風(fēng)險(xiǎn)評評估安全源于風(fēng)險(xiǎn)險(xiǎn)。在信息化建建設(shè)中，建建設(shè)與運(yùn)營營的網(wǎng)絡(luò)與與信息系統(tǒng)統(tǒng)由于可能能存在的系系統(tǒng)設(shè)計(jì)缺缺陷、隱含含于軟硬件件設(shè)備的缺缺陷、系統(tǒng)統(tǒng)集成時(shí)帶帶來的缺陷陷，以及可可能存在的的某些管理理薄弱環(huán)節(jié)節(jié)，尤其當(dāng)當(dāng)網(wǎng)絡(luò)與信信息系統(tǒng)中中擁有極為為重要的信信息資產(chǎn)時(shí)時(shí)，都將使使得面臨復(fù)復(fù)雜環(huán)境的的網(wǎng)絡(luò)與信信息系統(tǒng)潛潛在著若干干不同程度度的安全風(fēng)風(fēng)險(xiǎn)。35風(fēng)險(xiǎn)評估可以以不斷深入入地發(fā)現(xiàn)系系統(tǒng)建設(shè)中中的安全隱隱患，采取或完善善更加經(jīng)濟(jì)濟(jì)有效的安安全保障措措施，來消除安全建建設(shè)中的盲盲目樂觀或或盲目恐懼懼，提出有有針對性的的從實(shí)際出出發(fā)的解決決方法，提提高系統(tǒng)安安全的科學(xué)學(xué)管理水平平，進(jìn)而全全面提升網(wǎng)網(wǎng)絡(luò)與信息息系統(tǒng)的安安全保障能能力。36信息安全風(fēng)險(xiǎn)險(xiǎn)評估，是是從風(fēng)險(xiǎn)管管理角度，，運(yùn)用科學(xué)學(xué)的方法和和手段，系系統(tǒng)地分析析網(wǎng)絡(luò)與信信息系統(tǒng)所所面臨的威威脅及其存存在的脆弱弱性，評估估安全事件件一旦發(fā)生生可能造成成的危害程程度，提出出有針對性性的抵御威威脅的防護(hù)護(hù)對策和整整改措施。。并為防范范和化解信信息安全風(fēng)風(fēng)險(xiǎn)，或者者將風(fēng)險(xiǎn)控控制在可接接受的水平平，從而最最大限度地地保障網(wǎng)絡(luò)絡(luò)和信息安安全提供科科學(xué)依據(jù)。。（國信辦[2006]5號文件）37二、標(biāo)準(zhǔn)的的主要內(nèi)容容1、什么是風(fēng)風(fēng)險(xiǎn)評估2、為什么要要做風(fēng)險(xiǎn)評評估3、風(fēng)險(xiǎn)評估估怎么做383、風(fēng)險(xiǎn)評估估怎么做-風(fēng)險(xiǎn)評估實(shí)實(shí)施流程-風(fēng)險(xiǎn)評估的的形式-信息系統(tǒng)生生命周期各各階段的風(fēng)風(fēng)險(xiǎn)評估393、風(fēng)險(xiǎn)評估估怎么做-風(fēng)險(xiǎn)評估實(shí)實(shí)施流程-風(fēng)險(xiǎn)評估的的形式-信息系統(tǒng)生生命周期各各階段的風(fēng)風(fēng)險(xiǎn)評估40風(fēng)險(xiǎn)評估的的實(shí)施流程程先期準(zhǔn)備要素分析風(fēng)險(xiǎn)分析文檔記錄風(fēng)險(xiǎn)評估實(shí)實(shí)施流程圖圖41實(shí)施步驟(1)風(fēng)險(xiǎn)評估的的準(zhǔn)備(2)資產(chǎn)識別(3)威脅識別(4)脆弱性識別別(5)已有安全措措施的確認(rèn)認(rèn)(6)風(fēng)險(xiǎn)分析(7)風(fēng)險(xiǎn)評估文文件記錄423、風(fēng)險(xiǎn)評估估怎么做-風(fēng)險(xiǎn)評估實(shí)實(shí)施流程-風(fēng)險(xiǎn)評估的的形式-信息系統(tǒng)統(tǒng)生命周周期各階階段的風(fēng)風(fēng)險(xiǎn)評估估43信息安全風(fēng)風(fēng)險(xiǎn)評估估分為自自評估、、檢查評評估兩種種形式。。自評估估為主，，自評估估和檢查查評估相相互結(jié)合合、互為為補(bǔ)充。。自評估估和檢查查評估可可依托自自身技術(shù)術(shù)力量進(jìn)進(jìn)行，也也可委托托第三方方機(jī)構(gòu)提提供技術(shù)術(shù)支持。。風(fēng)險(xiǎn)評估估的形式式44自評估自評估可由由發(fā)起方方實(shí)施或或委托風(fēng)風(fēng)險(xiǎn)評估估服務(wù)技技術(shù)支持持方實(shí)施施。由發(fā)發(fā)起方實(shí)實(shí)施的評評估可以以降低實(shí)實(shí)施的費(fèi)費(fèi)用、提提高信息息系統(tǒng)相相關(guān)人員員的安全全意識，，但可能能由于缺缺乏風(fēng)險(xiǎn)險(xiǎn)評估的的專業(yè)技技能，其其結(jié)果不不夠深入入準(zhǔn)確；；同時(shí)，，受到組組織內(nèi)部部各種因因素的影影響，其其評估結(jié)結(jié)果的客客觀性易易受影響響。委托托風(fēng)險(xiǎn)評評估服務(wù)務(wù)技術(shù)支支持方實(shí)實(shí)施的評評估，過過程比較較規(guī)范、、評估結(jié)結(jié)果的客客觀性比比較好，，可信程程度較高高；但由由于受到到行業(yè)知知識技能能及業(yè)務(wù)務(wù)了解的的限制，，對被評評估系統(tǒng)統(tǒng)的了解解，尤其其是在業(yè)業(yè)務(wù)方面面的特殊殊要求存存在一定定的局限限。但由由于引入入第三方方本身就就是一個(gè)個(gè)風(fēng)險(xiǎn)因因素，因因此，對對其背景景與資質(zhì)質(zhì)、評估估過程與與結(jié)果的的保密要要求等方方面應(yīng)進(jìn)進(jìn)行控制制。45自評估中中的“自自”不僅僅僅是指指自已做做評估的的“自””，也不不僅僅是是指自愿愿做評估估的“自自”。由由于“誰誰主管誰誰負(fù)責(zé)””，出于于對自身身信息系系統(tǒng)的安安全責(zé)任任考慮，，信息系系統(tǒng)主管管者應(yīng)定定期對系系統(tǒng)進(jìn)行行風(fēng)險(xiǎn)評評估，具具體實(shí)施施時(shí)可以以依托自自身的評評估隊(duì)伍伍進(jìn)行，，也可委委托有資資質(zhì)的第第三方提提供評估估服務(wù)技技術(shù)支持持，但無無論是哪哪一種形形式，責(zé)責(zé)任都是是由信息息系統(tǒng)主主管者自自已擔(dān)負(fù)負(fù)的。因因此，自自評估中中的“自自”的含含義是自自已負(fù)責(zé)責(zé)的“自自”。包包括自已已負(fù)責(zé)系系統(tǒng)的安安全、自自己發(fā)起起對信息息系統(tǒng)的的風(fēng)險(xiǎn)評評估以及及自己負(fù)負(fù)責(zé)為保保障系統(tǒng)統(tǒng)安全所所做的風(fēng)風(fēng)險(xiǎn)評估估的安全全等。46此外，為為保證風(fēng)風(fēng)險(xiǎn)評估估的實(shí)施施，與系系統(tǒng)相連連的相關(guān)關(guān)方也應(yīng)應(yīng)配合，，以防止止給其他他方的使使用帶來來困難或或引入新新的風(fēng)險(xiǎn)險(xiǎn)也往往往較多，，因此，，要對實(shí)實(shí)施檢查查評估機(jī)機(jī)構(gòu)的資資質(zhì)進(jìn)行行嚴(yán)格管管理。47檢查評估估檢查評估是是指信息息系統(tǒng)上上級管理理部門組組織的或或國家有有關(guān)職能能部門依依法開展展的風(fēng)險(xiǎn)險(xiǎn)評估。。檢查評估估可依據(jù)據(jù)本標(biāo)準(zhǔn)準(zhǔn)的要求求，實(shí)施施完整的的風(fēng)險(xiǎn)評評估過程程。48一是風(fēng)險(xiǎn)險(xiǎn)評估究究其根本本是評估估系統(tǒng)的的敏感信信息，涉涉及大量量的安全全問題，，完全委委托第三三方將帶帶來評估估本身的的風(fēng)險(xiǎn)；；二是進(jìn)行行風(fēng)險(xiǎn)評評估要求求評估人人員既要要了解評評估本身身的一套套方法與與流程，，還要了了解被評評估系統(tǒng)統(tǒng)的業(yè)務(wù)務(wù)特性，，這對于于完全從從事評估估的第三三方來講講，在短短時(shí)間內(nèi)內(nèi)了解每每個(gè)系統(tǒng)統(tǒng)的業(yè)務(wù)務(wù)特性難難度是比比較大的的；三是風(fēng)險(xiǎn)險(xiǎn)評估工工作流程程中常常常要求被被評估方方向評估估方提供供各種信信息，需需要之間間的良好好互動(dòng)以以及多方方會商，，單靠評評估方第第三方是是無法完完成系統(tǒng)統(tǒng)評估的的?；谝陨仙显颍?，委托評評估技術(shù)術(shù)支持比比委托評評估的提提法更為為切合實(shí)實(shí)際。并并且，提提供委托托評估技技術(shù)支持持的機(jī)構(gòu)構(gòu)應(yīng)具有有相應(yīng)的的資質(zhì)。。493、風(fēng)險(xiǎn)評評估怎么么做-風(fēng)險(xiǎn)評估估實(shí)施流流程-風(fēng)險(xiǎn)評估估的形式式-信息系統(tǒng)統(tǒng)生命周周期各階階段的風(fēng)風(fēng)險(xiǎn)評估估50國信辦[2006]5號文件指指出：信息安全全風(fēng)險(xiǎn)評估估應(yīng)貫穿穿于網(wǎng)絡(luò)絡(luò)與信息息系統(tǒng)建建設(shè)運(yùn)行行的全過過程。在在網(wǎng)絡(luò)與與信息系系統(tǒng)的設(shè)設(shè)計(jì)、驗(yàn)驗(yàn)收及運(yùn)運(yùn)行維護(hù)護(hù)階段均均應(yīng)當(dāng)進(jìn)進(jìn)行信息息安全風(fēng)風(fēng)險(xiǎn)評估估。如在在網(wǎng)絡(luò)與與信息系系統(tǒng)規(guī)劃劃設(shè)計(jì)階階段，應(yīng)應(yīng)通過信信息安全全風(fēng)險(xiǎn)評評估進(jìn)一一步明確確安全需需求和安安全目標(biāo)標(biāo)。51信息系統(tǒng)統(tǒng)生命周周期各階階段的風(fēng)風(fēng)險(xiǎn)評估估規(guī)劃階段段的風(fēng)險(xiǎn)險(xiǎn)評估設(shè)計(jì)階段段的風(fēng)險(xiǎn)險(xiǎn)評估實(shí)施階段段的風(fēng)險(xiǎn)險(xiǎn)評估運(yùn)行維維護(hù)階階段的的風(fēng)險(xiǎn)險(xiǎn)評估估廢棄階階段的的風(fēng)險(xiǎn)險(xiǎn)評估估52規(guī)劃階階段的的風(fēng)險(xiǎn)險(xiǎn)評估估規(guī)劃階段段風(fēng)險(xiǎn)險(xiǎn)評估估的目目的是是識別別系統(tǒng)統(tǒng)的業(yè)業(yè)務(wù)戰(zhàn)戰(zhàn)略，，以支支撐系系統(tǒng)安安全需需求及及安全全戰(zhàn)略略等。。規(guī)劃劃階段段的評評估應(yīng)應(yīng)能夠夠描述述信息息系統(tǒng)統(tǒng)建成成后對對現(xiàn)有有業(yè)務(wù)務(wù)模式式的作作用，，包括括技術(shù)術(shù)、管管理等等方面面，并并根據(jù)據(jù)其作作用確確定系系統(tǒng)建建設(shè)應(yīng)應(yīng)達(dá)到到的安安全目目標(biāo)。。53設(shè)計(jì)階階段的的風(fēng)險(xiǎn)險(xiǎn)評估估設(shè)計(jì)階段段的風(fēng)風(fēng)險(xiǎn)評評估需需要根根據(jù)規(guī)規(guī)劃階階段所所明確確的系系統(tǒng)運(yùn)運(yùn)行環(huán)環(huán)境、、資產(chǎn)產(chǎn)重要要性，，提出出安全全功能能需求求。設(shè)設(shè)計(jì)階階段的的風(fēng)險(xiǎn)險(xiǎn)評估估結(jié)果果應(yīng)對對設(shè)計(jì)計(jì)方案案中所所提供供的安安全功功能符符合性性進(jìn)行行判斷斷，作作為采采購過過程風(fēng)風(fēng)險(xiǎn)控控制的的依據(jù)據(jù)。54實(shí)施階階段的的風(fēng)險(xiǎn)險(xiǎn)評估估實(shí)施階段段風(fēng)險(xiǎn)險(xiǎn)評估估的目目的是是根據(jù)據(jù)系統(tǒng)統(tǒng)安全全需求求和運(yùn)運(yùn)行環(huán)環(huán)境對對系統(tǒng)統(tǒng)開發(fā)發(fā)、實(shí)實(shí)施過過程進(jìn)進(jìn)行風(fēng)風(fēng)險(xiǎn)識識別，，并對對系統(tǒng)統(tǒng)建成成后的的安全全功能能進(jìn)行行驗(yàn)證證。根根據(jù)設(shè)設(shè)計(jì)階階段分分析的的威脅脅和制制定的的安全全措施施，在在實(shí)施施及驗(yàn)驗(yàn)收時(shí)時(shí)進(jìn)行行質(zhì)量量控制制。基于設(shè)設(shè)計(jì)階階段的的資產(chǎn)產(chǎn)列表表、安安全措措施，，實(shí)施施階段段應(yīng)對對規(guī)劃劃階段段的安安全威威脅進(jìn)進(jìn)行進(jìn)進(jìn)一步步細(xì)分分，同同時(shí)評評估安安全措措施的的實(shí)現(xiàn)現(xiàn)程度度，從從而確確定安安全措措施能能否抵抵御現(xiàn)現(xiàn)有威威脅、、脆弱弱性的的影響響。實(shí)實(shí)施階階段風(fēng)風(fēng)險(xiǎn)評評估主主要對對系統(tǒng)統(tǒng)的開開發(fā)與與技術(shù)術(shù)/產(chǎn)品品獲獲取取、、系系統(tǒng)統(tǒng)交交付付實(shí)實(shí)施施兩兩個(gè)個(gè)過過程程進(jìn)進(jìn)行行評評估估。。55運(yùn)行維護(hù)護(hù)階段的的風(fēng)險(xiǎn)評評估運(yùn)行維護(hù)護(hù)階段風(fēng)風(fēng)險(xiǎn)評估估的目的的是了解解和控制制運(yùn)行過過程中的的安全風(fēng)風(fēng)險(xiǎn)，是是一種較較為全面面的風(fēng)險(xiǎn)險(xiǎn)評估。。評估內(nèi)內(nèi)容包括括對真實(shí)實(shí)運(yùn)行的的信息系系統(tǒng)、資資產(chǎn)、威威脅、脆脆弱性等等各方面面。資產(chǎn)評估估：在真真實(shí)環(huán)境境下較為為細(xì)致的的評估。。包括實(shí)實(shí)施階段段采購的的軟硬件件資產(chǎn)、、系統(tǒng)運(yùn)運(yùn)行過程程中生成成的信息息資產(chǎn)、、相關(guān)的的人員與與服務(wù)等等，本階階段資產(chǎn)產(chǎn)識別是是前期資資產(chǎn)識別別的補(bǔ)充充與增加加；威脅評估估：應(yīng)全全面地分分析威脅脅的可能能性和影影響程度度。對非非故意威威脅導(dǎo)致致安全事事件的評評估可以以參照安安全事件件的發(fā)生生頻率；；對故意意威脅導(dǎo)導(dǎo)致安全全事件的的評估主主要就威威脅的各各個(gè)影響響因素做做出專業(yè)業(yè)判斷；；脆弱性評評估：是是全面的的脆弱性性評估。。包括運(yùn)運(yùn)行環(huán)境境中物理理、網(wǎng)絡(luò)絡(luò)、系統(tǒng)統(tǒng)、應(yīng)用用、安全全保障設(shè)設(shè)備、管管理等各各方面的的脆弱性性。技術(shù)術(shù)脆弱性性評估可可以采取取核查、、掃描、、案例驗(yàn)驗(yàn)證、滲滲透性測測試的方方式實(shí)施施；安全全保障設(shè)設(shè)備的脆脆弱性評評估，應(yīng)應(yīng)考慮安安全功能能的實(shí)現(xiàn)現(xiàn)情況和和安全保保障設(shè)備備本身的的脆弱性性；管理理脆弱性性評估可可以采取取文檔、、記錄核核查等方方式進(jìn)行行驗(yàn)證；；風(fēng)險(xiǎn)計(jì)算算：根據(jù)據(jù)本標(biāo)準(zhǔn)準(zhǔn)的相關(guān)關(guān)方法，，對重要要資產(chǎn)的的風(fēng)險(xiǎn)進(jìn)進(jìn)行定性性或定量量的風(fēng)險(xiǎn)險(xiǎn)分析，，描述不不同資產(chǎn)產(chǎn)的風(fēng)險(xiǎn)險(xiǎn)高低狀狀況。56廢棄階段段的風(fēng)險(xiǎn)險(xiǎn)評估當(dāng)信息系系統(tǒng)不能能滿足現(xiàn)現(xiàn)有要求求時(shí)，信信息系統(tǒng)統(tǒng)進(jìn)入廢廢棄階段段。根據(jù)據(jù)廢棄的的程度，，又分為為部分廢廢棄和全全部廢棄棄兩種。。廢棄階段風(fēng)險(xiǎn)險(xiǎn)評估著重在在以下幾方面面：1、確保硬件和和軟件等資產(chǎn)產(chǎn)及殘留信息息得到了適當(dāng)當(dāng)?shù)奶幹?，并并確保系統(tǒng)組件被合理理地丟棄或更更換；2、如果被廢棄棄的系統(tǒng)是某某個(gè)系統(tǒng)的一一部分，或與與其他系統(tǒng)存存在物理或邏輯上的連連接，還應(yīng)考考慮系統(tǒng)廢棄棄后與其他系系統(tǒng)的連接是是否被關(guān)閉；3、如果在系統(tǒng)統(tǒng)變更中廢棄棄，除對廢棄棄部分外，還還應(yīng)對變更的的部分進(jìn)行評估，以確確定是否會增增加風(fēng)險(xiǎn)或引引入新的風(fēng)險(xiǎn)險(xiǎn)；4、是否建立了了流程，確保保更新過程在在一個(gè)安全、、系統(tǒng)化的狀狀態(tài)下完成。57匯報(bào)內(nèi)容一、標(biāo)準(zhǔn)的編編制過程二、標(biāo)準(zhǔn)的主主要內(nèi)容三、下一步工工作的幾點(diǎn)思思考58--按照