信息安全風(fēng)險(xiǎn)評(píng)估國(guó)家標(biāo)準(zhǔn)編制及內(nèi)容介紹

信息安全風(fēng)險(xiǎn)評(píng)估國(guó)家標(biāo)準(zhǔn)編制及內(nèi)容介紹范紅二00六年九月1主要內(nèi)容一、標(biāo)準(zhǔn)的編制過(guò)程二、標(biāo)準(zhǔn)的主要內(nèi)容三、下一步工作的幾點(diǎn)思考2主要內(nèi)容一、標(biāo)準(zhǔn)的編制過(guò)程二、標(biāo)準(zhǔn)的主要內(nèi)容三、下一步工作的幾點(diǎn)思考3一、標(biāo)準(zhǔn)的編制過(guò)程1、前期研究準(zhǔn)備2、標(biāo)準(zhǔn)草案編制3、試點(diǎn)實(shí)踐檢驗(yàn)4、專家評(píng)審論證4一、標(biāo)準(zhǔn)的編制過(guò)程1、前期研究準(zhǔn)備2、標(biāo)準(zhǔn)草案編制3、試點(diǎn)實(shí)踐檢驗(yàn)4、專家評(píng)審論證5

1、前期研究準(zhǔn)備

2003年7月,中辦發(fā)[2003]27號(hào)文件對(duì)開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作提出了明確的要求。國(guó)信辦委托國(guó)家信息中心牽頭，成立了國(guó)家信息安全風(fēng)險(xiǎn)評(píng)估課題組，對(duì)信息安全風(fēng)險(xiǎn)評(píng)估相關(guān)工作展開(kāi)調(diào)查研究。課題組利用半年多的時(shí)間，對(duì)我國(guó)信息安全風(fēng)險(xiǎn)評(píng)估現(xiàn)狀進(jìn)行了深入調(diào)查，掌握了第一手情況；對(duì)國(guó)內(nèi)外相關(guān)領(lǐng)域的理論進(jìn)行了學(xué)習(xí)、分析和研究，查閱了大量的相關(guān)資料，基本了解了此領(lǐng)域的國(guó)際前沿動(dòng)態(tài)。這些都為標(biāo)準(zhǔn)編制工作奠定了良好的基礎(chǔ)。6

統(tǒng)一的風(fēng)險(xiǎn)評(píng)估技術(shù)標(biāo)準(zhǔn)是規(guī)范開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作的必備條件。落實(shí)中辦發(fā)27號(hào)文件、全面推進(jìn)我國(guó)的信息安全風(fēng)險(xiǎn)評(píng)估工作，首先就必須解決我國(guó)缺乏統(tǒng)一的風(fēng)險(xiǎn)評(píng)估技術(shù)標(biāo)準(zhǔn)的問(wèn)題。為此，國(guó)信辦領(lǐng)導(dǎo)根據(jù)專家們的建議，決定著手開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估國(guó)家標(biāo)準(zhǔn)的編制工作及相關(guān)實(shí)踐活動(dòng)。旨在通過(guò)這項(xiàng)工作更好地加強(qiáng)國(guó)家基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估及管理工作，使其流程更加科學(xué)、統(tǒng)一、規(guī)范、有效。7一、標(biāo)準(zhǔn)的編制過(guò)程1、前期研究準(zhǔn)備2、標(biāo)準(zhǔn)草案編制3、試點(diǎn)實(shí)踐檢驗(yàn)4、專家評(píng)審論證8

根據(jù)國(guó)信辦的指示和信安標(biāo)委的具體要求，國(guó)家信息中心組織國(guó)家保密技術(shù)研究所、公安部三所、北京信息安全測(cè)評(píng)中心、上海市測(cè)評(píng)認(rèn)證中心、信息安全國(guó)家重點(diǎn)實(shí)驗(yàn)室以及BJCA、上海三零衛(wèi)士、聯(lián)想、天融信、啟明星辰、綠盟、科飛、凝瑞等國(guó)內(nèi)十幾家企事業(yè)單位于2004年3月29日正式啟動(dòng)標(biāo)準(zhǔn)草案的編制工作。此后，中國(guó)信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心、解放軍信息技術(shù)安全研究中心、航天部二院七O六所等單位也參與了標(biāo)準(zhǔn)的編制與起草。起草組在前期準(zhǔn)備工作的基礎(chǔ)上，經(jīng)過(guò)多次研究探討，確定了編制標(biāo)準(zhǔn)應(yīng)遵循的原則:

2、標(biāo)準(zhǔn)草案編制9

1、符合我國(guó)現(xiàn)行的信息安全有關(guān)法律法規(guī)的要求，認(rèn)真貫徹落實(shí)27號(hào)文件關(guān)于加強(qiáng)信息安全風(fēng)險(xiǎn)評(píng)估工作的精神；

2、立足于我國(guó)信息化建設(shè)實(shí)踐，積極借鑒國(guó)際先進(jìn)標(biāo)準(zhǔn)的技術(shù)，提出符合我國(guó)基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)工程建設(shè)需求的風(fēng)險(xiǎn)評(píng)估規(guī)范；

3、針對(duì)網(wǎng)絡(luò)與信息系統(tǒng)的全生命周期，制訂適應(yīng)不同階段特點(diǎn)和要求的風(fēng)險(xiǎn)評(píng)估實(shí)施方法；

4、積極吸收信息安全有關(guān)主管部門和單位在等級(jí)保護(hù)、保密檢查和產(chǎn)品測(cè)評(píng)等工作的經(jīng)驗(yàn)與成果；

5、標(biāo)準(zhǔn)文本體系結(jié)構(gòu)科學(xué)合理，表述清晰，具有可實(shí)現(xiàn)性和可操作性。

10在標(biāo)準(zhǔn)編編制的的過(guò)程程中，，標(biāo)準(zhǔn)準(zhǔn)起草草組多多次與與相關(guān)關(guān)主管管部門門所屬屬機(jī)構(gòu)構(gòu)的專專家代代表就就技術(shù)術(shù)標(biāo)準(zhǔn)準(zhǔn)有關(guān)關(guān)主體體內(nèi)容容進(jìn)行行會(huì)商商；向相關(guān)關(guān)單位位發(fā)放放標(biāo)準(zhǔn)準(zhǔn)文本本，通過(guò)電電子郵郵件等等形式式廣泛泛征求求業(yè)界界意見(jiàn)見(jiàn)；召召開(kāi)標(biāo)標(biāo)準(zhǔn)討討論會(huì)會(huì)議三三十幾幾次，，共收收集100多條修修改意意見(jiàn)。。起草組組逐一一對(duì)修修改意意見(jiàn)進(jìn)進(jìn)行研研究，，在充充分吸吸納合合理成成份的的基礎(chǔ)礎(chǔ)上，，對(duì)《信息安安全風(fēng)風(fēng)險(xiǎn)評(píng)評(píng)估規(guī)規(guī)范》等標(biāo)準(zhǔn)準(zhǔn)進(jìn)行行了較較大幅幅度的的修改改，使使標(biāo)準(zhǔn)準(zhǔn)的體體系結(jié)結(jié)構(gòu)更更趨完完善、、合理理。11一、標(biāo)標(biāo)準(zhǔn)的的制定定過(guò)程程1、前期期研究究準(zhǔn)備備2、標(biāo)準(zhǔn)草草案編編制3、試點(diǎn)點(diǎn)實(shí)踐踐檢驗(yàn)驗(yàn)4、專家家評(píng)審審論證證123、試點(diǎn)點(diǎn)實(shí)踐踐檢驗(yàn)驗(yàn)2005年2月,根據(jù)國(guó)信辦辦[2005]4號(hào)和5號(hào)文件件，關(guān)關(guān)于在在銀行行、稅稅務(wù)、、電力力等部部門和和電子子政務(wù)務(wù)外網(wǎng)網(wǎng)，以以及北北京、、上海海、黑黑龍江江、云云南等等省市市，開(kāi)開(kāi)展信信息安安全風(fēng)風(fēng)險(xiǎn)評(píng)評(píng)估試試點(diǎn)工工作的的要求求，標(biāo)標(biāo)準(zhǔn)起起草組組配合合風(fēng)險(xiǎn)險(xiǎn)評(píng)估估試點(diǎn)點(diǎn)工作作專家家組開(kāi)開(kāi)展了了以下下工作作：--為各試試點(diǎn)單單位提提供標(biāo)標(biāo)準(zhǔn)草草案文文本和和相關(guān)關(guān)說(shuō)明明；--在試點(diǎn)點(diǎn)準(zhǔn)備備階段段與各各試點(diǎn)點(diǎn)單位位的技技術(shù)骨骨干進(jìn)進(jìn)行標(biāo)標(biāo)準(zhǔn)技術(shù)術(shù)交流流；--根據(jù)標(biāo)標(biāo)準(zhǔn)草草案文文本涉涉及的的關(guān)鍵鍵技術(shù)術(shù)，起起草組組成員員選擇試試點(diǎn)環(huán)環(huán)節(jié)參參與實(shí)實(shí)際試試點(diǎn)；；--在試點(diǎn)點(diǎn)過(guò)程程中，，先后后幾次次召開(kāi)開(kāi)標(biāo)準(zhǔn)準(zhǔn)研討討會(huì)，，征求求各單位位對(duì)標(biāo)標(biāo)準(zhǔn)的的意見(jiàn)見(jiàn)與建建議。。13整個(gè)試點(diǎn)點(diǎn)工作作歷時(shí)時(shí)7個(gè)月，，各試點(diǎn)點(diǎn)單位位對(duì)標(biāo)標(biāo)準(zhǔn)草草案先先后提提出40多條補(bǔ)補(bǔ)充修修改意意見(jiàn)，，標(biāo)準(zhǔn)準(zhǔn)起草草組根據(jù)試試點(diǎn)結(jié)結(jié)果先后進(jìn)進(jìn)行了了三次次較大大規(guī)模模的修修改。。主要要內(nèi)容容包括括：--細(xì)化了了資產(chǎn)產(chǎn)的分分類方方法、、脆弱弱性的的識(shí)別別要求求，修修改并細(xì)細(xì)化了了風(fēng)險(xiǎn)險(xiǎn)計(jì)算算的方方法；；--對(duì)自評(píng)評(píng)估、、檢查查評(píng)估估不同同評(píng)估估形式式的內(nèi)內(nèi)容與與實(shí)施施的重點(diǎn)點(diǎn)進(jìn)行行了區(qū)區(qū)分；；--對(duì)風(fēng)險(xiǎn)險(xiǎn)評(píng)估估的工工具進(jìn)進(jìn)行了了梳理理和區(qū)區(qū)分，，形成成了現(xiàn)現(xiàn)在的幾幾種類類型；；--細(xì)化了了生命命周期期不同同階段段風(fēng)險(xiǎn)險(xiǎn)評(píng)估估的主主要內(nèi)內(nèi)容。。試點(diǎn)實(shí)實(shí)踐證證明，，試行行標(biāo)準(zhǔn)準(zhǔn)基本本滿足足各試試點(diǎn)單單位評(píng)評(píng)估工工作的的需求求。14一、標(biāo)標(biāo)準(zhǔn)的的制定定過(guò)程程1、前期期研究究準(zhǔn)備備2、標(biāo)準(zhǔn)草草案編編制3、試點(diǎn)點(diǎn)實(shí)踐踐檢驗(yàn)驗(yàn)4、專家家評(píng)審審論證證152005年9月16日，國(guó)家家信息中中心在北北京組織織召開(kāi)了由周仲仲義院士士主持的的《信息安全全風(fēng)險(xiǎn)評(píng)評(píng)估指南南（征求求意見(jiàn)稿）》第一次專專家評(píng)審審會(huì)。4、專家評(píng)評(píng)審論證證16第一次專專家評(píng)審審會(huì)名單單姓名單位職務(wù)/職稱周仲義中國(guó)工程院院士熊四皓國(guó)務(wù)院信息辦處長(zhǎng)王娜國(guó)家發(fā)改委高科技司處長(zhǎng)姚世權(quán)中國(guó)標(biāo)準(zhǔn)化協(xié)會(huì)研究員賈穎禾全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)副秘書(shū)長(zhǎng)/研究員崔書(shū)昆國(guó)家信息化專家咨詢委員會(huì)委員/研究員景乾元公安部十一局處長(zhǎng)李建彬國(guó)稅總局信息中心副處長(zhǎng)張宏偉黑龍江省信息產(chǎn)業(yè)廳處長(zhǎng)姚麗旋上海市信息化管理委員會(huì)處長(zhǎng)肖京華總參三部三局處長(zhǎng)馮惠中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究所副主任/高工吳偉國(guó)家電網(wǎng)公司處長(zhǎng)詹榜華北京市CA中心總經(jīng)理172005年10月27日，國(guó)家家信息中中心在北北京組織織召開(kāi)了了信息安安全風(fēng)險(xiǎn)險(xiǎn)評(píng)估國(guó)國(guó)家標(biāo)準(zhǔn)準(zhǔn)征求意意見(jiàn)稿的的第二次次專家評(píng)評(píng)審會(huì)。。18第二次專專家評(píng)審審會(huì)名單單姓名單位職務(wù)/職稱何義大全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)副主任趙戰(zhàn)生國(guó)家信息化咨詢委員會(huì)研究員曲成義國(guó)家信息化咨詢委員會(huì)研究員馮登國(guó)信息安全863項(xiàng)目專家組組長(zhǎng)研究員陳曉樺中國(guó)信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心研究員崔書(shū)昆國(guó)家信息化咨詢委員會(huì)研究員景乾元公安部十一局處長(zhǎng)肖京華解放軍信息安全測(cè)評(píng)中心處長(zhǎng)賈穎禾全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)副秘書(shū)長(zhǎng)李守鵬中國(guó)信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心副主任王同良中石油經(jīng)濟(jì)技術(shù)中心副主任江志強(qiáng)民航總局人事科技司處長(zhǎng)謝小權(quán)航天科技集團(tuán)706所副所長(zhǎng)呂仲濤中國(guó)工商銀行總行信息科技部總工19與會(huì)專家認(rèn)認(rèn)為標(biāo)準(zhǔn)準(zhǔn)起草組組做了大大量卓有有成效的的工作，，標(biāo)準(zhǔn)的的結(jié)構(gòu)合合理、內(nèi)內(nèi)容完備備、可操操作性強(qiáng)強(qiáng)，并充充分考慮慮與信息息安全等等級(jí)保護(hù)護(hù)相關(guān)標(biāo)標(biāo)準(zhǔn)相銜銜接。文文本的編編制符合合國(guó)家標(biāo)標(biāo)準(zhǔn)的要要求。同同時(shí)，專專家們也也對(duì)完善善標(biāo)準(zhǔn)提提出了進(jìn)進(jìn)一步的的修改意意見(jiàn)。202005年12月14日，由安安標(biāo)委第第五工作作組主持持召開(kāi)了了由沈昌昌祥院士士為專家家組組長(zhǎng)長(zhǎng)的信息息安全風(fēng)風(fēng)險(xiǎn)評(píng)估估國(guó)家標(biāo)標(biāo)準(zhǔn)送審審稿的專專家評(píng)審審會(huì)。21專家評(píng)審審會(huì)名單單姓名單位職務(wù)/職稱沈昌祥海軍計(jì)算技術(shù)研究所院士吉增瑞公安部信息安全標(biāo)委會(huì)委員研究員趙戰(zhàn)生國(guó)家信息化咨詢委員會(huì)研究員卿斯?jié)h中科院信息安全技術(shù)工程研究中心研究員杜虹國(guó)家保密技術(shù)研究所所長(zhǎng)景乾元公安部十一局處長(zhǎng)崔書(shū)昆國(guó)家信息化咨詢委員會(huì)研究員22與會(huì)專家聽(tīng)聽(tīng)取了起起草小組組的編制制說(shuō)明及及內(nèi)容介介紹，審審閱了相相關(guān)文檔檔資料，，經(jīng)質(zhì)詢?cè)兒陀懻撜?，一致致認(rèn)為：：一、送審審稿規(guī)范范了風(fēng)險(xiǎn)險(xiǎn)評(píng)估的的評(píng)估內(nèi)內(nèi)容與范范圍、基基本概念念，明確確了資產(chǎn)、、威脅、、脆弱性性和安全全風(fēng)險(xiǎn)等等關(guān)鍵要要素及其其賦值原原則和要求，提提出了實(shí)實(shí)施流程程與操作作步驟、、評(píng)估規(guī)規(guī)則與基基本方法法，并充分考慮慮與信息息安全等等級(jí)保護(hù)護(hù)相關(guān)標(biāo)標(biāo)準(zhǔn)相銜銜接。二、送審審稿的操操作性較較強(qiáng)，對(duì)對(duì)開(kāi)展風(fēng)風(fēng)險(xiǎn)評(píng)估估工作具具有指導(dǎo)導(dǎo)作用，，并在國(guó)務(wù)務(wù)院信息息辦組織織的風(fēng)險(xiǎn)險(xiǎn)評(píng)估試試點(diǎn)中得得到了進(jìn)進(jìn)一步的的實(shí)踐驗(yàn)證和充充實(shí)完善善。三、文本本的編制制符合國(guó)國(guó)家標(biāo)準(zhǔn)準(zhǔn)GB1.1的要求。。專家組認(rèn)認(rèn)為送審審稿達(dá)到到國(guó)家標(biāo)標(biāo)準(zhǔn)送審審稿的要要求，同同意通過(guò)過(guò)評(píng)審。建議議起草組組根據(jù)專專家意見(jiàn)見(jiàn)盡快修修改完善善后申報(bào)報(bào)。232006年３月６６日和３３月１６６日，在在國(guó)信辦辦進(jìn)行的的行業(yè)和省省市的風(fēng)風(fēng)險(xiǎn)評(píng)估估政策文文件的兩兩次宣貫貫會(huì)上，，信息安安全風(fēng)險(xiǎn)評(píng)估估征求意意見(jiàn)稿以以國(guó)信辦辦文件的的形式下下發(fā)，為為各行業(yè)業(yè)和省市開(kāi)展風(fēng)風(fēng)險(xiǎn)評(píng)估提提供技術(shù)依依據(jù)。242006年4月18日，全國(guó)信信息安全標(biāo)標(biāo)準(zhǔn)化技術(shù)術(shù)委員（安標(biāo)委））會(huì)第五工工作組（WG5）在北京召召開(kāi)全體工工作組成員員標(biāo)準(zhǔn)投票會(huì)會(huì)議，對(duì)信信息安全風(fēng)風(fēng)險(xiǎn)評(píng)估國(guó)國(guó)家標(biāo)準(zhǔn)送送審稿進(jìn)行行工作組全體成成員投票表表決。與會(huì)會(huì)的三十幾幾位專家聽(tīng)聽(tīng)取了標(biāo)準(zhǔn)準(zhǔn)起草組對(duì)《指南》的編制過(guò)程程以及主要要內(nèi)容的介介紹，經(jīng)投投票一致通過(guò)了標(biāo)標(biāo)準(zhǔn)的評(píng)審審。252006年6月19日，全國(guó)信信息安全標(biāo)標(biāo)準(zhǔn)化技術(shù)術(shù)委員會(huì)秘秘書(shū)處在北北京組織召召開(kāi)了信息息安全風(fēng)險(xiǎn)險(xiǎn)評(píng)估標(biāo)準(zhǔn)準(zhǔn)送審稿的的專家審查查會(huì)，與會(huì)會(huì)專家經(jīng)質(zhì)質(zhì)詢和討論論，將標(biāo)準(zhǔn)準(zhǔn)正式命名名為《信息安全技技術(shù)信信息安安全風(fēng)險(xiǎn)評(píng)評(píng)估規(guī)范》，認(rèn)為該標(biāo)標(biāo)準(zhǔn)達(dá)到國(guó)國(guó)家標(biāo)準(zhǔn)送送審稿的要要求，同意意通過(guò)評(píng)審審。會(huì)后，國(guó)家家信息中心心先后與各各起草單位位和有關(guān)專專家就標(biāo)準(zhǔn)準(zhǔn)規(guī)范報(bào)批批稿的修改改進(jìn)行了進(jìn)進(jìn)一步的研研討，并逐逐一落實(shí)了了專家提出出的意見(jiàn)。。262006年7月19日，全國(guó)國(guó)信息安全全標(biāo)準(zhǔn)化委委員會(huì)主任任辦公會(huì)上上討論通過(guò)過(guò)了《信息安全技技術(shù)信信息安全風(fēng)風(fēng)險(xiǎn)評(píng)估規(guī)規(guī)范》(報(bào)批稿),目前已進(jìn)入入報(bào)批程序序。27主要內(nèi)容一、標(biāo)準(zhǔn)的的編制過(guò)程程二、標(biāo)準(zhǔn)的的主要內(nèi)容容三、下一步步工作的幾幾點(diǎn)思考28二、標(biāo)準(zhǔn)的的主要內(nèi)容容1、什么是風(fēng)風(fēng)險(xiǎn)評(píng)估2、為什么要要做風(fēng)險(xiǎn)評(píng)評(píng)估3、風(fēng)險(xiǎn)評(píng)估估怎么做29二、標(biāo)準(zhǔn)的的主要內(nèi)容容1、什么是風(fēng)風(fēng)險(xiǎn)評(píng)估2、為什么要要做風(fēng)險(xiǎn)評(píng)評(píng)估3、風(fēng)險(xiǎn)評(píng)估估怎么做301、什么是風(fēng)風(fēng)險(xiǎn)評(píng)估信息安全風(fēng)風(fēng)險(xiǎn)人為或自然然的威脅利利用信息系系統(tǒng)及其管管理體系中中存在的脆脆弱性導(dǎo)致致安全事件件的發(fā)生及及其對(duì)組織織造成的影影響。信息安全風(fēng)風(fēng)險(xiǎn)評(píng)估依據(jù)有關(guān)信信息安全技技術(shù)與管理理標(biāo)準(zhǔn)，對(duì)對(duì)信息系統(tǒng)統(tǒng)及由其處處理、傳輸輸和存儲(chǔ)的的信息的保保密性、完完整性和可可用性等安安全屬性進(jìn)進(jìn)行評(píng)價(jià)的的過(guò)程。它它要評(píng)估資資產(chǎn)面臨的的威脅以及及威脅利用用脆弱性導(dǎo)導(dǎo)致安全事事件的可能能性，并結(jié)結(jié)合安全事事件所涉及及的資產(chǎn)價(jià)價(jià)值來(lái)判斷斷安全事件件一旦發(fā)生生對(duì)組織造造成的影響響。31風(fēng)險(xiǎn)評(píng)估要要素關(guān)系圖圖圖中方框部部分的內(nèi)容容為風(fēng)險(xiǎn)評(píng)評(píng)估的基本本要素;橢圓部分的的內(nèi)容是與與這些要素素相關(guān)的屬屬性。風(fēng)險(xiǎn)評(píng)估圍圍繞著基本本要素展開(kāi)開(kāi)，同時(shí)需需要充分考考慮與基本本要素相關(guān)關(guān)的各類屬屬性。（1）業(yè)務(wù)戰(zhàn)略略的實(shí)現(xiàn)對(duì)對(duì)資產(chǎn)具有有依賴性，，依賴程度度越高，要要求其風(fēng)險(xiǎn)險(xiǎn)越?。唬?）資產(chǎn)是有有價(jià)值的，，組織的業(yè)業(yè)務(wù)戰(zhàn)略對(duì)對(duì)資產(chǎn)的依依賴程度越越高，資產(chǎn)產(chǎn)價(jià)值就越越大；（3）風(fēng)險(xiǎn)是由由威脅引發(fā)發(fā)的，資產(chǎn)產(chǎn)面臨的威威脅越多則則風(fēng)險(xiǎn)越大大，并可能能演變成安安全事件；；（4）資產(chǎn)的脆脆弱性可以以暴露資產(chǎn)產(chǎn)的價(jià)值，，資產(chǎn)具有有的弱點(diǎn)越越多則風(fēng)險(xiǎn)險(xiǎn)越大；（5）脆弱性是是未被滿足足的安全需需求，威脅脅利用脆弱弱性危害資資產(chǎn)；（6）風(fēng)險(xiǎn)的存存在及對(duì)風(fēng)風(fēng)險(xiǎn)的認(rèn)識(shí)識(shí)導(dǎo)出安全全需求；（7）安全需求求可通過(guò)安安全措施得得以滿足，，需要結(jié)合合資產(chǎn)價(jià)值值考慮實(shí)施施成本；（8）安全措施施可抵御威威脅，降低低風(fēng)險(xiǎn)；（9）殘余風(fēng)險(xiǎn)險(xiǎn)是未被安安全措施控控制的風(fēng)險(xiǎn)險(xiǎn)。有些是是安全措施施不當(dāng)或無(wú)無(wú)效,需要加強(qiáng)才才可控制的的風(fēng)險(xiǎn)；而而有些則是是在綜合考考慮了安全全成本與效效益后未去去控制的風(fēng)風(fēng)險(xiǎn)；（10）殘余風(fēng)險(xiǎn)險(xiǎn)應(yīng)受到密密切監(jiān)視，，它可能會(huì)會(huì)在將來(lái)誘誘發(fā)新的安安全事件。。32二、標(biāo)準(zhǔn)的的主要內(nèi)容容1、什么是風(fēng)風(fēng)險(xiǎn)評(píng)估2、為什么要要做風(fēng)險(xiǎn)評(píng)評(píng)估3、風(fēng)險(xiǎn)評(píng)估估怎么做332、為什么要要做風(fēng)險(xiǎn)評(píng)評(píng)估安全源于風(fēng)險(xiǎn)險(xiǎn)。在信息化建建設(shè)中，建建設(shè)與運(yùn)營(yíng)營(yíng)的網(wǎng)絡(luò)與與信息系統(tǒng)統(tǒng)由于可能能存在的系系統(tǒng)設(shè)計(jì)缺缺陷、隱含含于軟硬件件設(shè)備的缺缺陷、系統(tǒng)統(tǒng)集成時(shí)帶帶來(lái)的缺陷陷，以及可可能存在的的某些管理理薄弱環(huán)節(jié)節(jié)，尤其當(dāng)當(dāng)網(wǎng)絡(luò)與信信息系統(tǒng)中中擁有極為為重要的信信息資產(chǎn)時(shí)時(shí)，都將使使得面臨復(fù)復(fù)雜環(huán)境的的網(wǎng)絡(luò)與信信息系統(tǒng)潛潛在著若干干不同程度度的安全風(fēng)風(fēng)險(xiǎn)。34風(fēng)險(xiǎn)評(píng)估可可以不斷斷深入地地發(fā)現(xiàn)系系統(tǒng)建設(shè)設(shè)中的安安全隱患患，采取或完完善更加加經(jīng)濟(jì)有有效的安安全保障障措施，，來(lái)消除安全全建設(shè)中中的盲目目樂(lè)觀或或盲目恐恐懼，提提出有針針對(duì)性的的從實(shí)際際出發(fā)的的解決方方法，提提高系統(tǒng)統(tǒng)安全的的科學(xué)管管理水平平，進(jìn)而而全面提提升網(wǎng)絡(luò)絡(luò)與信息息系統(tǒng)的的安全保保障能力力。35信息安全風(fēng)風(fēng)險(xiǎn)評(píng)估估，是從從風(fēng)險(xiǎn)管管理角度度，運(yùn)用用科學(xué)的的方法和和手段，，系統(tǒng)地地分析網(wǎng)網(wǎng)絡(luò)與信信息系統(tǒng)統(tǒng)所面臨臨的威脅脅及其存存在的脆脆弱性，，評(píng)估安安全事件件一旦發(fā)發(fā)生可能能造成的的危害程程度，提提出有針針對(duì)性的的抵御威威脅的防防護(hù)對(duì)策策和整改改措施。。并為防防范和化化解信息息安全風(fēng)風(fēng)險(xiǎn)，或或者將風(fēng)風(fēng)險(xiǎn)控制制在可接接受的水水平，從從而最大大限度地地保障網(wǎng)網(wǎng)絡(luò)和信信息安全全提供科科學(xué)依據(jù)據(jù)。（國(guó)信辦辦[2006]5號(hào)文件））36二、標(biāo)準(zhǔn)準(zhǔn)的主要要內(nèi)容1、什么是是風(fēng)險(xiǎn)評(píng)評(píng)估2、為什么么要做風(fēng)風(fēng)險(xiǎn)評(píng)估估3、風(fēng)險(xiǎn)評(píng)評(píng)估怎么么做373、風(fēng)險(xiǎn)評(píng)評(píng)估怎么么做-風(fēng)險(xiǎn)評(píng)估估實(shí)施流流程-風(fēng)險(xiǎn)評(píng)估估的形式式-信息系統(tǒng)統(tǒng)生命周周期各階階段的風(fēng)風(fēng)險(xiǎn)評(píng)估估383、風(fēng)險(xiǎn)評(píng)評(píng)估怎么么做-風(fēng)險(xiǎn)評(píng)估估實(shí)施流流程-風(fēng)險(xiǎn)評(píng)估估的形式式-信息系統(tǒng)統(tǒng)生命周周期各階階段的風(fēng)風(fēng)險(xiǎn)評(píng)估估39風(fēng)險(xiǎn)評(píng)估估的實(shí)施施流程先期準(zhǔn)備備要素分析析風(fēng)險(xiǎn)分析析文檔記錄錄風(fēng)險(xiǎn)評(píng)估估實(shí)施流流程圖40實(shí)施步驟驟(1)風(fēng)險(xiǎn)評(píng)估估的準(zhǔn)備備(2)資產(chǎn)識(shí)別別(3)威脅識(shí)別別(4)脆弱性識(shí)識(shí)別(5)已有安全全措施的的確認(rèn)(6)風(fēng)險(xiǎn)分析析(7)風(fēng)險(xiǎn)評(píng)估估文件記記錄413、風(fēng)險(xiǎn)評(píng)評(píng)估怎么么做-風(fēng)險(xiǎn)評(píng)估估實(shí)施流流程-風(fēng)險(xiǎn)評(píng)估估的形式式-信息系統(tǒng)統(tǒng)生命周周期各階階段的風(fēng)風(fēng)險(xiǎn)評(píng)估估42信息安全風(fēng)風(fēng)險(xiǎn)評(píng)估估分為自自評(píng)估、、檢查評(píng)評(píng)估兩種種形式。。自評(píng)估估為主，，自評(píng)估估和檢查查評(píng)估相相互結(jié)合合、互為為補(bǔ)充。。自評(píng)估估和檢查查評(píng)估可可依托自自身技術(shù)術(shù)力量進(jìn)進(jìn)行，也也可委托托第三方方機(jī)構(gòu)提提供技術(shù)術(shù)支持。。風(fēng)險(xiǎn)評(píng)估估的形式式43自評(píng)估自評(píng)估可由由發(fā)起方方實(shí)施或或委托風(fēng)風(fēng)險(xiǎn)評(píng)估估服務(wù)技技術(shù)支持持方實(shí)施施。由發(fā)發(fā)起方實(shí)實(shí)施的評(píng)評(píng)估可以以降低實(shí)實(shí)施的費(fèi)費(fèi)用、提提高信息息系統(tǒng)相相關(guān)人員員的安全全意識(shí)，，但可能能由于缺缺乏風(fēng)險(xiǎn)險(xiǎn)評(píng)估的的專業(yè)技技能，其其結(jié)果不不夠深入入準(zhǔn)確；；同時(shí)，，受到組組織內(nèi)部部各種因因素的影影響，其其評(píng)估結(jié)結(jié)果的客客觀性易易受影響響。委托托風(fēng)險(xiǎn)評(píng)評(píng)估服務(wù)務(wù)技術(shù)支支持方實(shí)實(shí)施的評(píng)評(píng)估，過(guò)過(guò)程比較較規(guī)范、、評(píng)估結(jié)結(jié)果的客客觀性比比較好，，可信程程度較高高；但由由于受到到行業(yè)知知識(shí)技能能及業(yè)務(wù)務(wù)了解的的限制，，對(duì)被評(píng)評(píng)估系統(tǒng)統(tǒng)的了解解，尤其其是在業(yè)業(yè)務(wù)方面面的特殊殊要求存存在一定定的局限限。但由由于引入入第三方方本身就就是一個(gè)個(gè)風(fēng)險(xiǎn)因因素，因因此，對(duì)對(duì)其背景景與資質(zhì)質(zhì)、評(píng)估估過(guò)程與與結(jié)果的的保密要要求等方方面應(yīng)進(jìn)進(jìn)行控制制。44自評(píng)估估中的的“自自”不不僅僅僅是指指自已已做評(píng)評(píng)估的的“自自”，，也不不僅僅僅是指指自愿愿做評(píng)評(píng)估的的“自自”。。由于于“誰(shuí)誰(shuí)主管管誰(shuí)負(fù)負(fù)責(zé)””，出出于對(duì)對(duì)自身身信息息系統(tǒng)統(tǒng)的安安全責(zé)責(zé)任考考慮，，信息息系統(tǒng)統(tǒng)主管管者應(yīng)應(yīng)定期期對(duì)系系統(tǒng)進(jìn)進(jìn)行風(fēng)風(fēng)險(xiǎn)評(píng)評(píng)估，，具體體實(shí)施施時(shí)可可以依依托自自身的的評(píng)估估隊(duì)伍伍進(jìn)行行，也也可委委托有有資質(zhì)質(zhì)的第第三方方提供供評(píng)估估服務(wù)務(wù)技術(shù)術(shù)支持持，但但無(wú)論論是哪哪一種種形式式，責(zé)責(zé)任都都是由由信息息系統(tǒng)統(tǒng)主管管者自自已擔(dān)擔(dān)負(fù)的的。因因此，，自評(píng)評(píng)估中中的““自””的含含義是是自已已負(fù)責(zé)責(zé)的““自””。包包括自自已負(fù)負(fù)責(zé)系系統(tǒng)的的安全全、自自己發(fā)發(fā)起對(duì)對(duì)信息息系統(tǒng)統(tǒng)的風(fēng)風(fēng)險(xiǎn)評(píng)評(píng)估以以及自自己負(fù)負(fù)責(zé)為為保障障系統(tǒng)統(tǒng)安全全所做做的風(fēng)風(fēng)險(xiǎn)評(píng)評(píng)估的的安全全等。。45此外，，為保保證風(fēng)風(fēng)險(xiǎn)評(píng)評(píng)估的的實(shí)施施，與與系統(tǒng)統(tǒng)相連連的相相關(guān)方方也應(yīng)應(yīng)配合合，以以防止止給其其他方方的使使用帶帶來(lái)困困難或或引入入新的的風(fēng)險(xiǎn)險(xiǎn)也往往往較較多，，因此此，要要對(duì)實(shí)實(shí)施檢檢查評(píng)評(píng)估機(jī)機(jī)構(gòu)的的資質(zhì)質(zhì)進(jìn)行行嚴(yán)格格管理理。46檢查評(píng)評(píng)估檢查評(píng)估估是指指信息息系統(tǒng)統(tǒng)上級(jí)級(jí)管理理部門門組織織的或或國(guó)家家有關(guān)關(guān)職能能部門門依法法開(kāi)展展的風(fēng)風(fēng)險(xiǎn)評(píng)評(píng)估。。檢查評(píng)評(píng)估可可依據(jù)據(jù)本標(biāo)標(biāo)準(zhǔn)的的要求求，實(shí)實(shí)施完完整的的風(fēng)險(xiǎn)險(xiǎn)評(píng)估估過(guò)程程。47一是風(fēng)風(fēng)險(xiǎn)評(píng)評(píng)估究究其根根本是是評(píng)估估系統(tǒng)統(tǒng)的敏敏感信信息，，涉及及大量量的安安全問(wèn)問(wèn)題，，完全全委托托第三三方將將帶來(lái)來(lái)評(píng)估估本身身的風(fēng)風(fēng)險(xiǎn)；；二是進(jìn)進(jìn)行風(fēng)風(fēng)險(xiǎn)評(píng)評(píng)估要要求評(píng)評(píng)估人人員既既要了了解評(píng)評(píng)估本本身的的一套套方法法與流流程，，還要要了解解被評(píng)評(píng)估系系統(tǒng)的的業(yè)務(wù)務(wù)特性性，這這對(duì)于于完全全從事事評(píng)估估的第第三方方來(lái)講講，在在短時(shí)時(shí)間內(nèi)內(nèi)了解解每個(gè)個(gè)系統(tǒng)統(tǒng)的業(yè)業(yè)務(wù)特特性難難度是是比較較大的的；三是風(fēng)風(fēng)險(xiǎn)評(píng)評(píng)估工工作流流程中中常常常要求求被評(píng)評(píng)估方方向評(píng)評(píng)估方方提供供各種種信息息，需需要之之間的的良好好互動(dòng)動(dòng)以及及多方方會(huì)商商，單單靠評(píng)評(píng)估方方第三三方是是無(wú)法法完成成系統(tǒng)統(tǒng)評(píng)估估的。?；谝砸陨显?，，委托托評(píng)估估技術(shù)術(shù)支持持比委委托評(píng)評(píng)估的的提法法更為為切合合實(shí)際際。并并且，，提供供委托托評(píng)估估技術(shù)術(shù)支持持的機(jī)機(jī)構(gòu)應(yīng)應(yīng)具有有相應(yīng)應(yīng)的資資質(zhì)。。483、風(fēng)險(xiǎn)險(xiǎn)評(píng)估估怎么么做-風(fēng)險(xiǎn)評(píng)評(píng)估實(shí)實(shí)施流流程-風(fēng)險(xiǎn)評(píng)評(píng)估的的形式式-信息系系統(tǒng)生生命周周期各各階段段的風(fēng)風(fēng)險(xiǎn)評(píng)評(píng)估49國(guó)信辦[2006]5號(hào)文件件指出出：信息安安全風(fēng)險(xiǎn)評(píng)評(píng)估應(yīng)應(yīng)貫穿穿于網(wǎng)網(wǎng)絡(luò)與與信息息系統(tǒng)統(tǒng)建設(shè)設(shè)運(yùn)行行的全全過(guò)程程。在在網(wǎng)絡(luò)絡(luò)與信信息系系統(tǒng)的的設(shè)計(jì)計(jì)、驗(yàn)驗(yàn)收及及運(yùn)行行維護(hù)護(hù)階段段均應(yīng)應(yīng)當(dāng)進(jìn)進(jìn)行信信息安安全風(fēng)風(fēng)險(xiǎn)評(píng)評(píng)估。。如在在網(wǎng)絡(luò)絡(luò)與信信息系系統(tǒng)規(guī)規(guī)劃設(shè)設(shè)計(jì)階階段，，應(yīng)通通過(guò)信信息安安全風(fēng)風(fēng)險(xiǎn)評(píng)評(píng)估進(jìn)進(jìn)一步步明確確安全全需求求和安安全目目標(biāo)。。50信息系系統(tǒng)生生命周周期各各階段段的風(fēng)風(fēng)險(xiǎn)評(píng)評(píng)估規(guī)劃階階段的的風(fēng)險(xiǎn)險(xiǎn)評(píng)估估設(shè)計(jì)階階段的的風(fēng)險(xiǎn)險(xiǎn)評(píng)估估實(shí)施階階段的的風(fēng)險(xiǎn)險(xiǎn)評(píng)估估運(yùn)行維護(hù)護(hù)階段的的風(fēng)險(xiǎn)評(píng)評(píng)估廢棄階段段的風(fēng)險(xiǎn)險(xiǎn)評(píng)估51規(guī)劃階段段的風(fēng)險(xiǎn)險(xiǎn)評(píng)估規(guī)劃階段風(fēng)風(fēng)險(xiǎn)評(píng)估估的目的的是識(shí)別別系統(tǒng)的的業(yè)務(wù)戰(zhàn)戰(zhàn)略，以以支撐系系統(tǒng)安全全需求及及安全戰(zhàn)戰(zhàn)略等。。規(guī)劃階階段的評(píng)評(píng)估應(yīng)能能夠描述述信息系系統(tǒng)建成成后對(duì)現(xiàn)現(xiàn)有業(yè)務(wù)務(wù)模式的的作用，，包括技技術(shù)、管管理等方方面，并并根據(jù)其其作用確確定系統(tǒng)統(tǒng)建設(shè)應(yīng)應(yīng)達(dá)到的的安全目目標(biāo)。52設(shè)計(jì)階段段的風(fēng)險(xiǎn)險(xiǎn)評(píng)估設(shè)計(jì)階段的的風(fēng)險(xiǎn)評(píng)評(píng)估需要要根據(jù)規(guī)規(guī)劃階段段所明確確的系統(tǒng)統(tǒng)運(yùn)行環(huán)環(huán)境、資資產(chǎn)重要要性，提提出安全全功能需需求。設(shè)設(shè)計(jì)階段段的風(fēng)險(xiǎn)險(xiǎn)評(píng)估結(jié)結(jié)果應(yīng)對(duì)對(duì)設(shè)計(jì)方方案中所所提供的的安全功功能符合合性進(jìn)行行判斷，，作為采采購(gòu)過(guò)程程風(fēng)險(xiǎn)控控制的依依據(jù)。53實(shí)施階段段的風(fēng)險(xiǎn)險(xiǎn)評(píng)估實(shí)施階段風(fēng)風(fēng)險(xiǎn)評(píng)估估的目的的是根據(jù)據(jù)系統(tǒng)安安全需求求和運(yùn)行行環(huán)境對(duì)對(duì)系統(tǒng)開(kāi)開(kāi)發(fā)、實(shí)實(shí)施過(guò)程程進(jìn)行風(fēng)風(fēng)險(xiǎn)識(shí)別別，并對(duì)對(duì)系統(tǒng)建建成后的的安全功功能進(jìn)行行驗(yàn)證。。根據(jù)設(shè)設(shè)計(jì)階段段分析的的威脅和和制定的的安全措措施，在在實(shí)施及及驗(yàn)收時(shí)時(shí)進(jìn)行質(zhì)質(zhì)量控制制?；谠O(shè)計(jì)階段段的資產(chǎn)列表表、安全措施施，實(shí)施階段段應(yīng)對(duì)規(guī)劃階階段的安全威威脅進(jìn)行進(jìn)一一步細(xì)分，同同時(shí)評(píng)估安全全措施的實(shí)現(xiàn)現(xiàn)程度，從而而確定安全措措施能否抵御御現(xiàn)有威脅、、脆弱性的影影響。實(shí)施階階段風(fēng)險(xiǎn)評(píng)估估主要對(duì)系統(tǒng)統(tǒng)的開(kāi)發(fā)與技技術(shù)/產(chǎn)品獲取、系系統(tǒng)交付實(shí)施施兩個(gè)過(guò)程進(jìn)進(jìn)行評(píng)估。54運(yùn)行維護(hù)階段段的風(fēng)險(xiǎn)評(píng)估估運(yùn)行維護(hù)階段段風(fēng)險(xiǎn)評(píng)估的的目的是了解解和控制運(yùn)行行過(guò)程中的安安全風(fēng)險(xiǎn)，是是一種較為全全面的風(fēng)險(xiǎn)評(píng)評(píng)估。評(píng)估內(nèi)內(nèi)容包括對(duì)真真實(shí)運(yùn)行的信信息系統(tǒng)、資資產(chǎn)、威脅、、脆弱性等各各方面。資產(chǎn)評(píng)估：在在真實(shí)環(huán)境下下較為細(xì)致的的評(píng)估。包括括實(shí)施階段采采購(gòu)的軟硬件件資產(chǎn)、系統(tǒng)統(tǒng)運(yùn)行過(guò)程中中生成的信息息資產(chǎn)、相關(guān)關(guān)的人員與服服務(wù)等，本階階段資產(chǎn)識(shí)別別是前期資產(chǎn)產(chǎn)識(shí)別的補(bǔ)充充與增加；威脅評(píng)估：應(yīng)應(yīng)全面地分析析威脅的可能能性和影響程程度。對(duì)非故故意威脅導(dǎo)致致安全事件的的評(píng)估可以參參照安全事件件的發(fā)生頻率率；對(duì)故意威威脅導(dǎo)致安全全事件的評(píng)估估主要就威脅脅的各個(gè)影響響因素做出專專業(yè)判斷；脆弱性評(píng)估：：是全面的脆脆弱性評(píng)估。。包括運(yùn)行環(huán)環(huán)境中物理、、網(wǎng)絡(luò)、系統(tǒng)統(tǒng)、應(yīng)用、安安全保障設(shè)備備、管理等各各方面的脆弱弱性。技術(shù)脆脆弱性評(píng)估可可以采取核查查、掃描、案案例驗(yàn)證、滲滲透性測(cè)試的的方式實(shí)施；；安全保障設(shè)設(shè)備的脆弱性性評(píng)估，應(yīng)考考慮安全功能能的實(shí)現(xiàn)情況況和安全保障障設(shè)備本身的的脆弱性；管管理脆弱性評(píng)評(píng)估可以采取取文檔、記錄錄核查等方式式進(jìn)行驗(yàn)證；；風(fēng)險(xiǎn)計(jì)算：根根據(jù)本標(biāo)準(zhǔn)的的相關(guān)方法，，對(duì)重要資產(chǎn)產(chǎn)的風(fēng)險(xiǎn)進(jìn)行行定性或定量量的風(fēng)險(xiǎn)分析析，描述不同同資產(chǎn)的風(fēng)險(xiǎn)險(xiǎn)高低狀況。。55廢