信息安全風險評估國家標準編制及內(nèi)容介紹_第1頁
信息安全風險評估國家標準編制及內(nèi)容介紹_第2頁
信息安全風險評估國家標準編制及內(nèi)容介紹_第3頁
信息安全風險評估國家標準編制及內(nèi)容介紹_第4頁
信息安全風險評估國家標準編制及內(nèi)容介紹_第5頁
已閱讀5頁,還剩56頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權,請進行舉報或認領

文檔簡介

1、編輯課件1信息安全風險評估國家標準信息安全風險評估國家標準編制及內(nèi)容介紹編制及內(nèi)容介紹編輯課件2主要內(nèi)容主要內(nèi)容一、標準的編制過程一、標準的編制過程二、標準的主要內(nèi)容二、標準的主要內(nèi)容三、下一步工作的幾點思考三、下一步工作的幾點思考編輯課件3主要內(nèi)容主要內(nèi)容一、標準的編制過程一、標準的編制過程二、標準的主要內(nèi)容二、標準的主要內(nèi)容三、下一步工作的幾點思考三、下一步工作的幾點思考編輯課件4一、標準的編制過程一、標準的編制過程1 1、前期研究準備、前期研究準備2 2、標準草案編制標準草案編制3 3、試點實踐檢驗、試點實踐檢驗4、專家評審論證、專家評審論證編輯課件5一、標準的編制過程一、標準的編制過程

2、1 1、前期研究準備、前期研究準備2 2、標準草案編制標準草案編制3 3、試點實踐檢驗、試點實踐檢驗4、專家評審論證、專家評審論證編輯課件6 1、前期研究準備、前期研究準備 編輯課件7 編輯課件8一、標準的編制過程一、標準的編制過程1 1、前期研究準備、前期研究準備2 2、標準草案編制標準草案編制3 3、試點實踐檢驗、試點實踐檢驗4、專家評審論證、專家評審論證編輯課件9 編輯課件10 編輯課件11 標準編制的過程中,標準起草組多次與相關主管標準編制的過程中,標準起草組多次與相關主管部門所屬機構(gòu)的專家代表就技術標準有關主體內(nèi)容進行會部門所屬機構(gòu)的專家代表就技術標準有關主體內(nèi)容進行會商;商;向相關

3、單位發(fā)放標準文本,向相關單位發(fā)放標準文本,通過電子郵件等形式廣泛通過電子郵件等形式廣泛征求業(yè)界意見;召開標準討論會議三十幾次,共收集征求業(yè)界意見;召開標準討論會議三十幾次,共收集100100多條修改意見。多條修改意見。 起草組逐一對修改意見進行研究,在充分吸納合理成起草組逐一對修改意見進行研究,在充分吸納合理成份的基礎上,對份的基礎上,對信息安全風險評估規(guī)范信息安全風險評估規(guī)范等標準進行了等標準進行了較大幅度的修改,使標準的體系結(jié)構(gòu)更趨完善、合理。較大幅度的修改,使標準的體系結(jié)構(gòu)更趨完善、合理。編輯課件12一、標準的制定過程一、標準的制定過程1 1、前期研究準備、前期研究準備2 2、標準草案編

4、制標準草案編制3 3、試點實踐檢驗、試點實踐檢驗4、專家評審論證、專家評審論證編輯課件13 3、試點實踐檢驗、試點實踐檢驗 年年2 2月月, , 根據(jù)根據(jù)國信辦國信辦2005420054號和號和5 5號文件,號文件,關于在銀行、稅務、電力等部門和電子政務外網(wǎng),以及北關于在銀行、稅務、電力等部門和電子政務外網(wǎng),以及北京、上海、黑龍江、云南等省市,開展信息安全風險評估京、上海、黑龍江、云南等省市,開展信息安全風險評估試點工作的要求,標準起草組配合風險評估試點工作專家試點工作的要求,標準起草組配合風險評估試點工作專家組開展了以下工作:組開展了以下工作: -為各試點單位提供標準草案文本和相關說明;為各

5、試點單位提供標準草案文本和相關說明; -在試點準備階段與各試點單位的技術骨干進行標在試點準備階段與各試點單位的技術骨干進行標 準技術交流;準技術交流; -根據(jù)標準草案文本涉及的關鍵技術,起草組成員根據(jù)標準草案文本涉及的關鍵技術,起草組成員 選擇試點環(huán)節(jié)參與實際試點;選擇試點環(huán)節(jié)參與實際試點; -在試點過程中,先后幾次召開標準研討會,征求在試點過程中,先后幾次召開標準研討會,征求 各單位對標準的意見與建議。各單位對標準的意見與建議。 編輯課件14 個試點工作歷時個試點工作歷時7 7個月,個月,各試點單位對標準草案各試點單位對標準草案先后提出先后提出40 多條補充修改意見,標準起草組多條補充修改意

6、見,標準起草組根據(jù)試點結(jié)果根據(jù)試點結(jié)果先后進行了三次較大規(guī)模的修改。主要內(nèi)容包括:先后進行了三次較大規(guī)模的修改。主要內(nèi)容包括: -細化了資產(chǎn)的分類方法、脆弱性的識別要求,修細化了資產(chǎn)的分類方法、脆弱性的識別要求,修 改并細化了風險計算的方法;改并細化了風險計算的方法; -對自評估、檢查評估不同評估形式的內(nèi)容與實施對自評估、檢查評估不同評估形式的內(nèi)容與實施 的重點進行了區(qū)分;的重點進行了區(qū)分; -對風險評估的工具進行了梳理和區(qū)分,形成了現(xiàn)對風險評估的工具進行了梳理和區(qū)分,形成了現(xiàn) 在的幾種類型;在的幾種類型; -細化了生命周期不同階段風險評估的主要內(nèi)容。細化了生命周期不同階段風險評估的主要內(nèi)容。

7、 試點實踐證明,試行標準基本滿足各試點單位評估工試點實踐證明,試行標準基本滿足各試點單位評估工作的需求。作的需求。 編輯課件15一、標準的制定過程一、標準的制定過程1 1、前期研究準備、前期研究準備2 2、標準草案編制標準草案編制3 3、試點實踐檢驗、試點實踐檢驗4、專家評審論證、專家評審論證編輯課件16 年年9 9月月1616日,國家信息中心在北京組織召開日,國家信息中心在北京組織召開了由周仲義院士主持的了由周仲義院士主持的信息安全風險評估指南(征求意信息安全風險評估指南(征求意見稿)見稿)第一次專家評審會。第一次專家評審會。 4、專家評審論證、專家評審論證編輯課件17第一次專家評審會名單第

8、一次專家評審會名單姓姓 名名單單 位位職務職務/ /職稱職稱周仲義中國工程院院士熊四皓國務院信息辦處長王娜國家發(fā)改委高科技司處長姚世權中國標準化協(xié)會研究員賈穎禾全國信息安全標準化技術委員會副秘書長/研究員崔書昆國家信息化專家咨詢委員會委員/研究員景乾元公安部十一局處長李建彬國稅總局信息中心副處長張宏偉黑龍江省信息產(chǎn)業(yè)廳處長姚麗旋上海市信息化管理委員會處長肖京華總參三部三局處長馮惠中國電子技術標準化研究所副主任/高工吳偉國家電網(wǎng)公司處長詹榜華北京市CA中心總經(jīng)理編輯課件18 年年1010月月2727日,國家信息中心在北京組織召開了日,國家信息中心在北京組織召開了信息安全風險評估國家標準征求意見稿

9、的第二次專家評審會。信息安全風險評估國家標準征求意見稿的第二次專家評審會。編輯課件19第二次專家評審會名單第二次專家評審會名單姓姓 名名單單 位位職務職務/ /職稱職稱何義大全國信息安全標準化技術委員會副主任趙戰(zhàn)生國家信息化咨詢委員會研究員曲成義國家信息化咨詢委員會研究員馮登國信息安全863項目專家組組長研究員陳曉樺中國信息安全產(chǎn)品測評認證中心研究員崔書昆國家信息化咨詢委員會研究員景乾元公安部十一局處長肖京華解放軍信息安全測評中心處長賈穎禾全國信息安全標準化技術委員會副秘書長李守鵬中國信息安全產(chǎn)品測評認證中心副主任王同良中石油經(jīng)濟技術中心副主任江志強民航總局人事科技司處長謝小權航天科技集團70

10、6所副所長呂仲濤中國工商銀行總行信息科技部總工編輯課件20 會專家認為標準起草組做了大量卓有成效的工作,會專家認為標準起草組做了大量卓有成效的工作,標準的結(jié)構(gòu)合理、內(nèi)容完備、可操作性強,并充分考慮與信標準的結(jié)構(gòu)合理、內(nèi)容完備、可操作性強,并充分考慮與信息安全等級保護相關標準相銜接。文本的編制符合國家標準息安全等級保護相關標準相銜接。文本的編制符合國家標準的要求。同時,專家們也對完善標準提出了進一步的修改意的要求。同時,專家們也對完善標準提出了進一步的修改意見。見。編輯課件21 年年1212月月1414日,由安標委第五工作組主持召開了日,由安標委第五工作組主持召開了由沈昌祥院士為專家組組長的信息

11、安全風險評估國家標準送由沈昌祥院士為專家組組長的信息安全風險評估國家標準送審稿的專家評審會。審稿的專家評審會。編輯課件22專家評審會名單專家評審會名單姓姓 名名單單 位位職務職務/ /職稱職稱沈昌祥海軍計算技術研究所院士吉增瑞公安部信息安全標委會委員研究員趙戰(zhàn)生國家信息化咨詢委員會研究員卿斯?jié)h中科院信息安全技術工程研究中心研究員杜虹國家保密技術研究所所長景乾元公安部十一局處長崔書昆國家信息化咨詢委員會研究員編輯課件23 會專家聽取了起草小組的編制說明及內(nèi)容介紹,審閱了會專家聽取了起草小組的編制說明及內(nèi)容介紹,審閱了相關文檔資料,經(jīng)質(zhì)詢和討論,一致認為:相關文檔資料,經(jīng)質(zhì)詢和討論,一致認為: 一

12、、送審稿規(guī)范了風險評估的評估內(nèi)容與范圍、基本概念,明確一、送審稿規(guī)范了風險評估的評估內(nèi)容與范圍、基本概念,明確 了資產(chǎn)、威脅、脆弱性和安全風險等關鍵要素及其賦值原則和了資產(chǎn)、威脅、脆弱性和安全風險等關鍵要素及其賦值原則和 要求,提出了實施流程與操作步驟、評估規(guī)則與基本方法,并要求,提出了實施流程與操作步驟、評估規(guī)則與基本方法,并 充分考慮與信息安全等級保護相關標準相銜接。充分考慮與信息安全等級保護相關標準相銜接。 二、送審稿的操作性較強,對開展風險評估工作具有指導作用,二、送審稿的操作性較強,對開展風險評估工作具有指導作用, 并在國務院信息辦組織的風險評估試點中得到了進一步的實踐并在國務院信息

13、辦組織的風險評估試點中得到了進一步的實踐 驗證和充實完善。驗證和充實完善。 三、文本的編制符合國家標準的要求。三、文本的編制符合國家標準的要求。 專家組認為送審稿達到國家標準送審稿的要求,同意通過評專家組認為送審稿達到國家標準送審稿的要求,同意通過評 審。建議起草組根據(jù)專家意見盡快修改完善后申報。審。建議起草組根據(jù)專家意見盡快修改完善后申報。編輯課件24 年月日和月日,在國信辦進行的年月日和月日,在國信辦進行的行業(yè)和省市的風險評估政策文件的兩次宣貫會上,信息安全行業(yè)和省市的風險評估政策文件的兩次宣貫會上,信息安全風險評估征求意見稿以國信辦文件的形式下發(fā),為各行業(yè)和風險評估征求意見稿以國信辦文件

14、的形式下發(fā),為各行業(yè)和省市開展風險評估提供技術依據(jù)。省市開展風險評估提供技術依據(jù)。編輯課件25 年年4 4月月1818日,全國信息安全標準化技術委員日,全國信息安全標準化技術委員(安標委)會第五工作組(安標委)會第五工作組(WG5WG5)在北京召開全體工作組成員)在北京召開全體工作組成員標準投票會議,對信息安全風險評估國家標準送審稿進行工標準投票會議,對信息安全風險評估國家標準送審稿進行工作組全體成員投票表決。與會的三十幾位專家聽取了標準起作組全體成員投票表決。與會的三十幾位專家聽取了標準起草組對草組對指南指南的編制過程以及主要內(nèi)容的介紹,經(jīng)投票一的編制過程以及主要內(nèi)容的介紹,經(jīng)投票一致通過了

15、標準的評審。致通過了標準的評審。 編輯課件26 年年6 6月月1919日,全國信息安全標準化技術委日,全國信息安全標準化技術委員會秘書處在北京組織召開了信息安全風險評估標準送審員會秘書處在北京組織召開了信息安全風險評估標準送審稿的專家審查會,與會專家經(jīng)質(zhì)詢和討論,將標準正式命稿的專家審查會,與會專家經(jīng)質(zhì)詢和討論,將標準正式命名為名為信息安全技術信息安全技術 信息安全風險評估規(guī)范信息安全風險評估規(guī)范,認為,認為該標準達到國家標準送審稿的要求,同意通過評審。該標準達到國家標準送審稿的要求,同意通過評審。 會后,國家信息中心先后與各起草單位和有關專家會后,國家信息中心先后與各起草單位和有關專家就標準

16、規(guī)范報批稿的修改進行了進一步的研討,并逐一落就標準規(guī)范報批稿的修改進行了進一步的研討,并逐一落實了專家提出的意見。實了專家提出的意見。 編輯課件27 年年7 7月月1919日,日, 全國信息安全標準化委員全國信息安全標準化委員會主任辦公會上討論通過了會主任辦公會上討論通過了信息安全技術信息安全技術 信息安全風信息安全風險評估規(guī)范險評估規(guī)范( (報批稿報批稿),),目前已進入報批程序。目前已進入報批程序。編輯課件28主要內(nèi)容主要內(nèi)容一、標準的編制過程一、標準的編制過程二、標準的主要內(nèi)容二、標準的主要內(nèi)容三、下一步工作的幾點思考三、下一步工作的幾點思考編輯課件29二、標準的主要內(nèi)容二、標準的主要內(nèi)

17、容1 1、什么是風險評估、什么是風險評估2 2、為什么要做風險評估、為什么要做風險評估3 3、風險評估怎么做、風險評估怎么做編輯課件30二、標準的主要內(nèi)容二、標準的主要內(nèi)容1 1、什么是風險評估、什么是風險評估2 2、為什么要做風險評估、為什么要做風險評估3 3、風險評估怎么做、風險評估怎么做編輯課件311 1、什么是風險評估、什么是風險評估 信息安全風險信息安全風險 人為或自然的威脅利用信息系統(tǒng)及其人為或自然的威脅利用信息系統(tǒng)及其管理體系中存在的脆弱性導致安全事件的發(fā)生及其對組織管理體系中存在的脆弱性導致安全事件的發(fā)生及其對組織造成的影響。造成的影響。 信息安全風險評估信息安全風險評估 依據(jù)

18、有關信息安全技術與管理標依據(jù)有關信息安全技術與管理標準,對信息系統(tǒng)及由其處理、傳輸和存儲的信息的保密性、準,對信息系統(tǒng)及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行評價的過程。它要評估資完整性和可用性等安全屬性進行評價的過程。它要評估資產(chǎn)面臨的威脅以及威脅利用脆弱性導致安全事件的可能性,產(chǎn)面臨的威脅以及威脅利用脆弱性導致安全事件的可能性,并結(jié)合安全事件所涉及的資產(chǎn)價值來判斷安全事件一旦發(fā)并結(jié)合安全事件所涉及的資產(chǎn)價值來判斷安全事件一旦發(fā)生對組織造成的影響。生對組織造成的影響。編輯課件32風險評估要素關系圖風險評估要素關系圖 圖中方框部分的內(nèi)容為風險評估的基圖中方框部分的內(nèi)容

19、為風險評估的基本要素本要素; ;橢圓部分的內(nèi)容是與這些要素相橢圓部分的內(nèi)容是與這些要素相關的屬性。關的屬性。 風險評估圍繞著基本要素展開,同時風險評估圍繞著基本要素展開,同時需要充分考慮與基本要素相關的各類屬性需要充分考慮與基本要素相關的各類屬性。(1 1)業(yè)務戰(zhàn)略的實現(xiàn)對資產(chǎn)具有依賴性,依賴程度)業(yè)務戰(zhàn)略的實現(xiàn)對資產(chǎn)具有依賴性,依賴程度越高,要求其風險越?。辉礁?,要求其風險越?。唬? 2)資產(chǎn)是有價值的,組織的業(yè)務戰(zhàn)略對資產(chǎn)的依)資產(chǎn)是有價值的,組織的業(yè)務戰(zhàn)略對資產(chǎn)的依賴程度越高,資產(chǎn)價值就越大;賴程度越高,資產(chǎn)價值就越大;(3 3)風險是由威脅引發(fā)的,資產(chǎn)面臨的威脅越多則)風險是由威脅引發(fā)

20、的,資產(chǎn)面臨的威脅越多則風險越大,并可能演變成安全事件;風險越大,并可能演變成安全事件;(4 4)資產(chǎn)的脆弱性可以暴露資產(chǎn)的價值,資產(chǎn)具有)資產(chǎn)的脆弱性可以暴露資產(chǎn)的價值,資產(chǎn)具有的弱點越多則風險越大;的弱點越多則風險越大;(5 5)脆弱性是未被滿足的安全需求,威脅利用脆弱)脆弱性是未被滿足的安全需求,威脅利用脆弱性危害資產(chǎn);性危害資產(chǎn);(6 6)風險的存在及對風險的認識導出安全需求;)風險的存在及對風險的認識導出安全需求;(7 7)安全需求可通過安全措施得以滿足,需要結(jié)合)安全需求可通過安全措施得以滿足,需要結(jié)合資產(chǎn)價值考慮實施成本;資產(chǎn)價值考慮實施成本;(8 8)安全措施可抵御威脅,降低風

21、險;)安全措施可抵御威脅,降低風險;(9 9)殘余風險是未被安全措施控制的風險。有些是)殘余風險是未被安全措施控制的風險。有些是安全措施不當或無效安全措施不當或無效, ,需要加強才可控制的風險;而需要加強才可控制的風險;而有些則是在綜合考慮了安全成本與效益后未去控制的有些則是在綜合考慮了安全成本與效益后未去控制的風險;風險;(1010)殘余風險應受到密切監(jiān)視,它可能會在將來誘)殘余風險應受到密切監(jiān)視,它可能會在將來誘發(fā)新的安全事件。發(fā)新的安全事件。編輯課件33二、標準的主要內(nèi)容二、標準的主要內(nèi)容1 1、什么是風險評估、什么是風險評估2 2、為什么要做風險評估、為什么要做風險評估3 3、風險評估

22、怎么做、風險評估怎么做編輯課件342 2、為什么要做風險評估、為什么要做風險評估 安安全源于風險全源于風險。 在信息化建設中,建設與運營的網(wǎng)絡與信息系統(tǒng)由于可能在信息化建設中,建設與運營的網(wǎng)絡與信息系統(tǒng)由于可能存在的系統(tǒng)設計缺陷、隱含于軟硬件設備的缺陷、系統(tǒng)集成時存在的系統(tǒng)設計缺陷、隱含于軟硬件設備的缺陷、系統(tǒng)集成時帶來的缺陷,以及可能存在的某些管理薄弱環(huán)節(jié),尤其當網(wǎng)絡帶來的缺陷,以及可能存在的某些管理薄弱環(huán)節(jié),尤其當網(wǎng)絡與信息系統(tǒng)中擁有極為重要的信息資產(chǎn)時,都將使得面臨復雜與信息系統(tǒng)中擁有極為重要的信息資產(chǎn)時,都將使得面臨復雜環(huán)境的網(wǎng)絡與信息系統(tǒng)潛在著若干不同程度的安全風險。環(huán)境的網(wǎng)絡與信息

23、系統(tǒng)潛在著若干不同程度的安全風險。 編輯課件35 險評估可以不斷深入地發(fā)現(xiàn)系統(tǒng)建設中的安全隱患,險評估可以不斷深入地發(fā)現(xiàn)系統(tǒng)建設中的安全隱患,采取或完善更加經(jīng)濟有效的安全保障措施,來采取或完善更加經(jīng)濟有效的安全保障措施,來消除安全建設消除安全建設中的盲目樂觀或盲目恐懼,提出有針對性的從實際出發(fā)的解中的盲目樂觀或盲目恐懼,提出有針對性的從實際出發(fā)的解決方法,提高系統(tǒng)安全的科學管理水平,進而全面提升網(wǎng)絡決方法,提高系統(tǒng)安全的科學管理水平,進而全面提升網(wǎng)絡與信息系統(tǒng)的安全保障能力。與信息系統(tǒng)的安全保障能力。 編輯課件36 息安全風險評估,是從風險管理角度,運用科學息安全風險評估,是從風險管理角度,運

24、用科學的方法和手段,系統(tǒng)地分析網(wǎng)絡與信息系統(tǒng)所面臨的威脅的方法和手段,系統(tǒng)地分析網(wǎng)絡與信息系統(tǒng)所面臨的威脅及其存在的脆弱性,評估安全事件一旦發(fā)生可能造成的危及其存在的脆弱性,評估安全事件一旦發(fā)生可能造成的危害程度,提出有針對性的抵御威脅的防護對策和整改措施。害程度,提出有針對性的抵御威脅的防護對策和整改措施。并為防范和化解信息安全風險,或者將風險控制在可接受并為防范和化解信息安全風險,或者將風險控制在可接受的水平,從而最大限度地保障網(wǎng)絡和信息安全提供科學依的水平,從而最大限度地保障網(wǎng)絡和信息安全提供科學依據(jù)。據(jù)。(國信辦(國信辦2006520065號文件)號文件)編輯課件37二、標準的主要內(nèi)容

25、二、標準的主要內(nèi)容1 1、什么是風險評估、什么是風險評估2 2、為什么要做風險評估、為什么要做風險評估3 3、風險評估怎么做、風險評估怎么做編輯課件383、風險評估怎么做、風險評估怎么做 - -風險評估實施流程風險評估實施流程 - -風險評估的形式風險評估的形式 - -信息系統(tǒng)生命周期各階段的風險評估信息系統(tǒng)生命周期各階段的風險評估 編輯課件393、風險評估怎么做、風險評估怎么做 - -風險評估實施流程風險評估實施流程 - -風險評估的形式風險評估的形式 - -信息系統(tǒng)生命周期各階段的風險評估信息系統(tǒng)生命周期各階段的風險評估 編輯課件40風險評估的實施流程風險評估的實施流程編輯課件41 實施步

26、驟實施步驟(1) (1) 風險評估的準備風險評估的準備(2) (2) 資產(chǎn)識別資產(chǎn)識別(3) (3) 威脅識別威脅識別(4) (4) 脆弱性識別脆弱性識別(5) (5) 已有安全措施的確認已有安全措施的確認(6) (6) 風險分析風險分析(7) (7) 風險評估文件記錄風險評估文件記錄編輯課件423、風險評估怎么做、風險評估怎么做 - -風險評估實施流程風險評估實施流程 - -風險評估的形式風險評估的形式 - -信息系統(tǒng)生命周期各階段的風險評估信息系統(tǒng)生命周期各階段的風險評估 編輯課件43 息安全風險評估分為自評估、檢查評估兩種形式。息安全風險評估分為自評估、檢查評估兩種形式。自評估為主,自評

27、估和檢查評估相互結(jié)合、互為補充。自自評估為主,自評估和檢查評估相互結(jié)合、互為補充。自評估和檢查評估可依托自身技術力量進行,也可委托第三評估和檢查評估可依托自身技術力量進行,也可委托第三方機構(gòu)提供技術支持。方機構(gòu)提供技術支持。 風險評估的形式風險評估的形式編輯課件44 自評估自評估 評估可由發(fā)起方實施或委托風險評估服務技術支持方評估可由發(fā)起方實施或委托風險評估服務技術支持方實施。由發(fā)起方實施的評估可以降低實施的費用、提高信息系實施。由發(fā)起方實施的評估可以降低實施的費用、提高信息系統(tǒng)相關人員的安全意識,但可能由于缺乏風險評估的專業(yè)技能,統(tǒng)相關人員的安全意識,但可能由于缺乏風險評估的專業(yè)技能,其結(jié)果

28、不夠深入準確;同時,受到組織內(nèi)部各種因素的影響,其結(jié)果不夠深入準確;同時,受到組織內(nèi)部各種因素的影響,其評估結(jié)果的客觀性易受影響。委托風險評估服務技術支持方其評估結(jié)果的客觀性易受影響。委托風險評估服務技術支持方實施的評估,過程比較規(guī)范、評估結(jié)果的客觀性比較好,可信實施的評估,過程比較規(guī)范、評估結(jié)果的客觀性比較好,可信程度較高;但由于受到行業(yè)知識技能及業(yè)務了解的限制,對被程度較高;但由于受到行業(yè)知識技能及業(yè)務了解的限制,對被評估系統(tǒng)的了解,尤其是在業(yè)務方面的特殊要求存在一定的局評估系統(tǒng)的了解,尤其是在業(yè)務方面的特殊要求存在一定的局限。但由于引入第三方本身就是一個風險因素,因此,對其背限。但由于引

29、入第三方本身就是一個風險因素,因此,對其背景與資質(zhì)、評估過程與結(jié)果的保密要求等方面應進行控制。景與資質(zhì)、評估過程與結(jié)果的保密要求等方面應進行控制。編輯課件45 自評估中的自評估中的“自自”不僅僅是指自已做評估的不僅僅是指自已做評估的“自自”,也不,也不僅僅是指自愿做評估的僅僅是指自愿做評估的“自自”。由于。由于“誰主管誰負責誰主管誰負責”,出,出于對自身信息系統(tǒng)的安全責任考慮,信息系統(tǒng)主管者應定期于對自身信息系統(tǒng)的安全責任考慮,信息系統(tǒng)主管者應定期對系統(tǒng)進行風險評估,具體實施時可以依托自身的評估隊伍對系統(tǒng)進行風險評估,具體實施時可以依托自身的評估隊伍進行,也可委托有資質(zhì)的第三方提供評估服務技術

30、支持,但進行,也可委托有資質(zhì)的第三方提供評估服務技術支持,但無論是哪一種形式,責任都是由信息系統(tǒng)主管者自已擔負的。無論是哪一種形式,責任都是由信息系統(tǒng)主管者自已擔負的。因此,自評估中的因此,自評估中的“自自”的含義是自已負責的的含義是自已負責的“自自”。包括。包括自已負責系統(tǒng)的安全、自己發(fā)起對信息系統(tǒng)的風險評估以及自已負責系統(tǒng)的安全、自己發(fā)起對信息系統(tǒng)的風險評估以及自己負責為保障系統(tǒng)安全所做的風險評估的安全等。自己負責為保障系統(tǒng)安全所做的風險評估的安全等。編輯課件46 此外,為保證風險評估的實施,與系統(tǒng)相連的相關方也此外,為保證風險評估的實施,與系統(tǒng)相連的相關方也應配合,以防止給其他方的使用帶

31、來困難或引入新的風險也應配合,以防止給其他方的使用帶來困難或引入新的風險也往往較多,因此,要對實施檢查評估機構(gòu)的資質(zhì)進行嚴格管往往較多,因此,要對實施檢查評估機構(gòu)的資質(zhì)進行嚴格管理。理。編輯課件47 檢查評估檢查評估 查評估是指信息系統(tǒng)上級管理部門組織的或國家有查評估是指信息系統(tǒng)上級管理部門組織的或國家有關職能部門依法開展的風險評估。關職能部門依法開展的風險評估。 檢查評估可依據(jù)本標準的要求,實施完整的風險評估過程。檢查評估可依據(jù)本標準的要求,實施完整的風險評估過程。編輯課件48 一是風險評估究其根本是評估系統(tǒng)的敏感信息,涉及大量一是風險評估究其根本是評估系統(tǒng)的敏感信息,涉及大量的安全問題,完

32、全委托第三方將帶來評估本身的風險;的安全問題,完全委托第三方將帶來評估本身的風險; 二是進行風險評估要求評估人員既要了解評估本身的一套二是進行風險評估要求評估人員既要了解評估本身的一套方法與流程,還要了解被評估系統(tǒng)的業(yè)務特性,這對于完全方法與流程,還要了解被評估系統(tǒng)的業(yè)務特性,這對于完全從事評估的第三方來講,在短時間內(nèi)了解每個系統(tǒng)的業(yè)務特從事評估的第三方來講,在短時間內(nèi)了解每個系統(tǒng)的業(yè)務特性難度是比較大的;性難度是比較大的; 三是風險評估工作流程中常常要求被評估方向評估方提供三是風險評估工作流程中常常要求被評估方向評估方提供各種信息,需要之間的良好互動以及多方會商,單靠評估方各種信息,需要之間

33、的良好互動以及多方會商,單靠評估方第三方是無法完成系統(tǒng)評估的。第三方是無法完成系統(tǒng)評估的。 基于以上原因,委托評估技術支持比委托評估的提法更為基于以上原因,委托評估技術支持比委托評估的提法更為切合實際。并且,提供委托評估技術支持的機構(gòu)應具有相應切合實際。并且,提供委托評估技術支持的機構(gòu)應具有相應的資質(zhì)。的資質(zhì)。編輯課件493、風險評估怎么做、風險評估怎么做 - -風險評估實施流程風險評估實施流程 - -風險評估的形式風險評估的形式 - -信息系統(tǒng)生命周期各階段的風險評估信息系統(tǒng)生命周期各階段的風險評估 編輯課件50 編輯課件51規(guī)劃階段的風險評估規(guī)劃階段的風險評估設計階段的風險評估設計階段的風

34、險評估實施階段的風險評估實施階段的風險評估運行維護階段的風險評估運行維護階段的風險評估廢棄階段的風險評估廢棄階段的風險評估編輯課件52 規(guī)劃階段的風險評估規(guī)劃階段的風險評估 劃階段風險評估的目的是識別系統(tǒng)的業(yè)務戰(zhàn)略,劃階段風險評估的目的是識別系統(tǒng)的業(yè)務戰(zhàn)略,以支撐系統(tǒng)安全需求及安全戰(zhàn)略等。規(guī)劃階段的評估應能以支撐系統(tǒng)安全需求及安全戰(zhàn)略等。規(guī)劃階段的評估應能夠描述信息系統(tǒng)建成后對現(xiàn)有業(yè)務模式的作用,包括技術、夠描述信息系統(tǒng)建成后對現(xiàn)有業(yè)務模式的作用,包括技術、管理等方面,并根據(jù)其作用確定系統(tǒng)建設應達到的安全目管理等方面,并根據(jù)其作用確定系統(tǒng)建設應達到的安全目標。標。 編輯課件53 設計階段的風險

35、評估設計階段的風險評估 計階段的風險評估需要根據(jù)規(guī)劃階段所明確的系計階段的風險評估需要根據(jù)規(guī)劃階段所明確的系統(tǒng)運行環(huán)境、資產(chǎn)重要性,提出安全功能需求。設計階段統(tǒng)運行環(huán)境、資產(chǎn)重要性,提出安全功能需求。設計階段的風險評估結(jié)果應對設計方案中所提供的安全功能符合性的風險評估結(jié)果應對設計方案中所提供的安全功能符合性進行判斷,作為采購過程風險控制的依據(jù)。進行判斷,作為采購過程風險控制的依據(jù)。編輯課件54實施階段的風險評估實施階段的風險評估 施階段風險評估的目的是根據(jù)系統(tǒng)安全需求和運行施階段風險評估的目的是根據(jù)系統(tǒng)安全需求和運行環(huán)境對系統(tǒng)開發(fā)、實施過程進行風險識別,并對系統(tǒng)建成后環(huán)境對系統(tǒng)開發(fā)、實施過程進

36、行風險識別,并對系統(tǒng)建成后的安全功能進行驗證。根據(jù)設計階段分析的威脅和制定的安的安全功能進行驗證。根據(jù)設計階段分析的威脅和制定的安全措施,在實施及驗收時進行質(zhì)量控制。全措施,在實施及驗收時進行質(zhì)量控制。 基于設計階段的資產(chǎn)列表、安全措施,實施階段應對規(guī)基于設計階段的資產(chǎn)列表、安全措施,實施階段應對規(guī)劃階段的安全威脅進行進一步細分,同時評估安全措施的實劃階段的安全威脅進行進一步細分,同時評估安全措施的實現(xiàn)程度,從而確定安全措施能否抵御現(xiàn)有威脅、脆弱性的影現(xiàn)程度,從而確定安全措施能否抵御現(xiàn)有威脅、脆弱性的影響。實施階段風險評估主要對系統(tǒng)的開發(fā)與技術響。實施階段風險評估主要對系統(tǒng)的開發(fā)與技術/ /產(chǎn)

37、品獲取、產(chǎn)品獲取、系統(tǒng)交付實施兩個過程進行評估。系統(tǒng)交付實施兩個過程進行評估。編輯課件55 運行維護階段的風險評估運行維護階段的風險評估 運行維護階段風險評估的目的是了解和控制運行過程中的安全風險,運行維護階段風險評估的目的是了解和控制運行過程中的安全風險,是一種較為全面的風險評估。評估內(nèi)容包括對真實運行的信息系統(tǒng)、資是一種較為全面的風險評估。評估內(nèi)容包括對真實運行的信息系統(tǒng)、資產(chǎn)、威脅、脆弱性等各方面。產(chǎn)、威脅、脆弱性等各方面。 資產(chǎn)評估:在真實環(huán)境下較為細致的評估。包括實施階段采購的軟資產(chǎn)評估:在真實環(huán)境下較為細致的評估。包括實施階段采購的軟硬件資產(chǎn)、系統(tǒng)運行過程中生成的信息資產(chǎn)、相關的人

38、員與服務等,本硬件資產(chǎn)、系統(tǒng)運行過程中生成的信息資產(chǎn)、相關的人員與服務等,本階段資產(chǎn)識別是前期資產(chǎn)識別的補充與增加;階段資產(chǎn)識別是前期資產(chǎn)識別的補充與增加; 威脅評估:應全面地分析威脅的可能性和影響程度。對非故意威脅威脅評估:應全面地分析威脅的可能性和影響程度。對非故意威脅導致安全事件的評估可以參照安全事件的發(fā)生頻率;對故意威脅導致安導致安全事件的評估可以參照安全事件的發(fā)生頻率;對故意威脅導致安全事件的評估主要就威脅的各個影響因素做出專業(yè)判斷;全事件的評估主要就威脅的各個影響因素做出專業(yè)判斷; 脆弱性評估:是全面的脆弱性評估。包括運行環(huán)境中物理、網(wǎng)絡、脆弱性評估:是全面的脆弱性評估。包括運行環(huán)

39、境中物理、網(wǎng)絡、系統(tǒng)、應用、安全保障設備、管理等各方面的脆弱性。技術脆弱性評估系統(tǒng)、應用、安全保障設備、管理等各方面的脆弱性。技術脆弱性評估可以采取核查、掃描、案例驗證、滲透性測試的方式實施;安全保障設可以采取核查、掃描、案例驗證、滲透性測試的方式實施;安全保障設備的脆弱性評估,應考慮安全功能的實現(xiàn)情況和安全保障設備本身的脆備的脆弱性評估,應考慮安全功能的實現(xiàn)情況和安全保障設備本身的脆弱性;管理脆弱性評估可以采取文檔、記錄核查等方式進行驗證;弱性;管理脆弱性評估可以采取文檔、記錄核查等方式進行驗證; 風險計算:根據(jù)本標準的相關方法,對重要資產(chǎn)的風險進行定性或風險計算:根據(jù)本標準的相關方法,對重

40、要資產(chǎn)的風險進行定性或定量的風險分析,描述不同資產(chǎn)的風險高低狀況。定量的風險分析,描述不同資產(chǎn)的風險高低狀況。編輯課件56 廢棄階段的風險評估廢棄階段的風險評估 當信息系統(tǒng)不能滿足現(xiàn)有要求時,信息系統(tǒng)進入廢棄階段。根據(jù)廢當信息系統(tǒng)不能滿足現(xiàn)有要求時,信息系統(tǒng)進入廢棄階段。根據(jù)廢棄的程度,又分為部分廢棄和全部廢棄兩種。棄的程度,又分為部分廢棄和全部廢棄兩種。 廢棄階段風險評估著重在以下幾方面:廢棄階段風險評估著重在以下幾方面: 1 1、確保硬件和軟件等資產(chǎn)及殘留信息得到了適當?shù)奶幹茫⒋_保系、確保硬件和軟件等資產(chǎn)及殘留信息得到了適當?shù)奶幹茫⒋_保系 統(tǒng)組件被合理地丟棄或更換;統(tǒng)組件被合理地丟棄或更換; 2 2、如果被廢棄的系統(tǒng)是某個系統(tǒng)的一部分,或與其他系統(tǒng)存在物理、如果被廢棄的系

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論