信息安全風(fēng)險(xiǎn)評(píng)估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹課件

1、信息安全風(fēng)險(xiǎn)評(píng)估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹1信息安全風(fēng)險(xiǎn)評(píng)估國家標(biāo)準(zhǔn)信息安全風(fēng)險(xiǎn)評(píng)估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹編制及內(nèi)容介紹信息安全風(fēng)險(xiǎn)評(píng)估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹2主要內(nèi)容主要內(nèi)容一、標(biāo)準(zhǔn)的編制過程一、標(biāo)準(zhǔn)的編制過程二、標(biāo)準(zhǔn)的主要內(nèi)容二、標(biāo)準(zhǔn)的主要內(nèi)容三、下一步工作的幾點(diǎn)思考三、下一步工作的幾點(diǎn)思考信息安全風(fēng)險(xiǎn)評(píng)估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹3主要內(nèi)容主要內(nèi)容一、標(biāo)準(zhǔn)的編制過程一、標(biāo)準(zhǔn)的編制過程二、標(biāo)準(zhǔn)的主要內(nèi)容二、標(biāo)準(zhǔn)的主要內(nèi)容三、下一步工作的幾點(diǎn)思考三、下一步工作的幾點(diǎn)思考信息安全風(fēng)險(xiǎn)評(píng)估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹4一、標(biāo)準(zhǔn)的編制過程一、標(biāo)準(zhǔn)的編制過程1 1、前期研究準(zhǔn)備、前期研究準(zhǔn)備2 2、標(biāo)準(zhǔn)草案編制標(biāo)

2、準(zhǔn)草案編制3 3、試點(diǎn)實(shí)踐檢驗(yàn)、試點(diǎn)實(shí)踐檢驗(yàn)4、專家評(píng)審論證、專家評(píng)審論證信息安全風(fēng)險(xiǎn)評(píng)估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹5一、標(biāo)準(zhǔn)的編制過程一、標(biāo)準(zhǔn)的編制過程1 1、前期研究準(zhǔn)備、前期研究準(zhǔn)備2 2、標(biāo)準(zhǔn)草案編制標(biāo)準(zhǔn)草案編制3 3、試點(diǎn)實(shí)踐檢驗(yàn)、試點(diǎn)實(shí)踐檢驗(yàn)4、專家評(píng)審論證、專家評(píng)審論證信息安全風(fēng)險(xiǎn)評(píng)估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹6 1、前期研究準(zhǔn)備、前期研究準(zhǔn)備 信息安全風(fēng)險(xiǎn)評(píng)估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹7 信息安全風(fēng)險(xiǎn)評(píng)估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹8一、標(biāo)準(zhǔn)的編制過程一、標(biāo)準(zhǔn)的編制過程1 1、前期研究準(zhǔn)備、前期研究準(zhǔn)備2 2、標(biāo)準(zhǔn)草案編制標(biāo)準(zhǔn)草案編制3 3、試點(diǎn)實(shí)踐檢驗(yàn)、試點(diǎn)實(shí)踐檢驗(yàn)4、專家評(píng)審論證、專家評(píng)審論

3、證信息安全風(fēng)險(xiǎn)評(píng)估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹9 信息安全風(fēng)險(xiǎn)評(píng)估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹10 信息安全風(fēng)險(xiǎn)評(píng)估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹11 標(biāo)準(zhǔn)編制的過程中，標(biāo)準(zhǔn)起草組多次與相關(guān)主管標(biāo)準(zhǔn)編制的過程中，標(biāo)準(zhǔn)起草組多次與相關(guān)主管部門所屬機(jī)構(gòu)的專家代表就技術(shù)標(biāo)準(zhǔn)有關(guān)主體內(nèi)容進(jìn)行會(huì)部門所屬機(jī)構(gòu)的專家代表就技術(shù)標(biāo)準(zhǔn)有關(guān)主體內(nèi)容進(jìn)行會(huì)商；商；向相關(guān)單位發(fā)放標(biāo)準(zhǔn)文本，向相關(guān)單位發(fā)放標(biāo)準(zhǔn)文本，通過電子郵件等形式廣泛通過電子郵件等形式廣泛征求業(yè)界意見；召開標(biāo)準(zhǔn)討論會(huì)議三十幾次，共收集征求業(yè)界意見；召開標(biāo)準(zhǔn)討論會(huì)議三十幾次，共收集100100多條修改意見。多條修改意見。 起草組逐一對(duì)修改意見進(jìn)行研究，在充分吸納合理成起草

4、組逐一對(duì)修改意見進(jìn)行研究，在充分吸納合理成份的基礎(chǔ)上，對(duì)份的基礎(chǔ)上，對(duì)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范等標(biāo)準(zhǔn)進(jìn)行了等標(biāo)準(zhǔn)進(jìn)行了較大幅度的修改，使標(biāo)準(zhǔn)的體系結(jié)構(gòu)更趨完善、合理。較大幅度的修改，使標(biāo)準(zhǔn)的體系結(jié)構(gòu)更趨完善、合理。信息安全風(fēng)險(xiǎn)評(píng)估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹12一、標(biāo)準(zhǔn)的制定過程一、標(biāo)準(zhǔn)的制定過程1 1、前期研究準(zhǔn)備、前期研究準(zhǔn)備2 2、標(biāo)準(zhǔn)草案編制標(biāo)準(zhǔn)草案編制3 3、試點(diǎn)實(shí)踐檢驗(yàn)、試點(diǎn)實(shí)踐檢驗(yàn)4、專家評(píng)審論證、專家評(píng)審論證信息安全風(fēng)險(xiǎn)評(píng)估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹13 3、試點(diǎn)實(shí)踐檢驗(yàn)、試點(diǎn)實(shí)踐檢驗(yàn) 年年2 2月月, , 根據(jù)根據(jù)國信辦國信辦2005420054號(hào)和號(hào)和5 5號(hào)文件，號(hào)

5、文件，關(guān)于在銀行、稅務(wù)、電力等部門和電子政務(wù)外網(wǎng)，以及北關(guān)于在銀行、稅務(wù)、電力等部門和電子政務(wù)外網(wǎng)，以及北京、上海、黑龍江、云南等省市，開展信息安全風(fēng)險(xiǎn)評(píng)估京、上海、黑龍江、云南等省市，開展信息安全風(fēng)險(xiǎn)評(píng)估試點(diǎn)工作的要求，標(biāo)準(zhǔn)起草組配合風(fēng)險(xiǎn)評(píng)估試點(diǎn)工作專家試點(diǎn)工作的要求，標(biāo)準(zhǔn)起草組配合風(fēng)險(xiǎn)評(píng)估試點(diǎn)工作專家組開展了以下工作：組開展了以下工作： -為各試點(diǎn)單位提供標(biāo)準(zhǔn)草案文本和相關(guān)說明；為各試點(diǎn)單位提供標(biāo)準(zhǔn)草案文本和相關(guān)說明； -在試點(diǎn)準(zhǔn)備階段與各試點(diǎn)單位的技術(shù)骨干進(jìn)行標(biāo)在試點(diǎn)準(zhǔn)備階段與各試點(diǎn)單位的技術(shù)骨干進(jìn)行標(biāo) 準(zhǔn)技術(shù)交流；準(zhǔn)技術(shù)交流； -根據(jù)標(biāo)準(zhǔn)草案文本涉及的關(guān)鍵技術(shù)，起草組成員根據(jù)標(biāo)準(zhǔn)草案文

6、本涉及的關(guān)鍵技術(shù)，起草組成員 選擇試點(diǎn)環(huán)節(jié)參與實(shí)際試點(diǎn)；選擇試點(diǎn)環(huán)節(jié)參與實(shí)際試點(diǎn)； -在試點(diǎn)過程中，先后幾次召開標(biāo)準(zhǔn)研討會(huì)，征求在試點(diǎn)過程中，先后幾次召開標(biāo)準(zhǔn)研討會(huì)，征求 各單位對(duì)標(biāo)準(zhǔn)的意見與建議。各單位對(duì)標(biāo)準(zhǔn)的意見與建議。 信息安全風(fēng)險(xiǎn)評(píng)估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹14 個(gè)試點(diǎn)工作歷時(shí)個(gè)試點(diǎn)工作歷時(shí)7 7個(gè)月，個(gè)月，各試點(diǎn)單位對(duì)標(biāo)準(zhǔn)草案各試點(diǎn)單位對(duì)標(biāo)準(zhǔn)草案先后提出先后提出40 多條補(bǔ)充修改意見，標(biāo)準(zhǔn)起草組多條補(bǔ)充修改意見，標(biāo)準(zhǔn)起草組根據(jù)試點(diǎn)結(jié)果根據(jù)試點(diǎn)結(jié)果先后進(jìn)行了三次較大規(guī)模的修改。主要內(nèi)容包括：先后進(jìn)行了三次較大規(guī)模的修改。主要內(nèi)容包括： -細(xì)化了資產(chǎn)的分類方法、脆弱性的識(shí)別要求，修細(xì)化了資

7、產(chǎn)的分類方法、脆弱性的識(shí)別要求，修 改并細(xì)化了風(fēng)險(xiǎn)計(jì)算的方法；改并細(xì)化了風(fēng)險(xiǎn)計(jì)算的方法； -對(duì)自評(píng)估、檢查評(píng)估不同評(píng)估形式的內(nèi)容與實(shí)施對(duì)自評(píng)估、檢查評(píng)估不同評(píng)估形式的內(nèi)容與實(shí)施 的重點(diǎn)進(jìn)行了區(qū)分；的重點(diǎn)進(jìn)行了區(qū)分； -對(duì)風(fēng)險(xiǎn)評(píng)估的工具進(jìn)行了梳理和區(qū)分，形成了現(xiàn)對(duì)風(fēng)險(xiǎn)評(píng)估的工具進(jìn)行了梳理和區(qū)分，形成了現(xiàn) 在的幾種類型；在的幾種類型； -細(xì)化了生命周期不同階段風(fēng)險(xiǎn)評(píng)估的主要內(nèi)容。細(xì)化了生命周期不同階段風(fēng)險(xiǎn)評(píng)估的主要內(nèi)容。 試點(diǎn)實(shí)踐證明，試行標(biāo)準(zhǔn)基本滿足各試點(diǎn)單位評(píng)估工試點(diǎn)實(shí)踐證明，試行標(biāo)準(zhǔn)基本滿足各試點(diǎn)單位評(píng)估工作的需求。作的需求。 信息安全風(fēng)險(xiǎn)評(píng)估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹15一、標(biāo)準(zhǔn)的制定過程一、

8、標(biāo)準(zhǔn)的制定過程1 1、前期研究準(zhǔn)備、前期研究準(zhǔn)備2 2、標(biāo)準(zhǔn)草案編制標(biāo)準(zhǔn)草案編制3 3、試點(diǎn)實(shí)踐檢驗(yàn)、試點(diǎn)實(shí)踐檢驗(yàn)4、專家評(píng)審論證、專家評(píng)審論證信息安全風(fēng)險(xiǎn)評(píng)估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹16 年年9 9月月1616日，國家信息中心在北京組織召開日，國家信息中心在北京組織召開了由周仲義院士主持的了由周仲義院士主持的信息安全風(fēng)險(xiǎn)評(píng)估指南（征求意信息安全風(fēng)險(xiǎn)評(píng)估指南（征求意見稿）見稿）第一次專家評(píng)審會(huì)。第一次專家評(píng)審會(huì)。 4、專家評(píng)審論證、專家評(píng)審論證信息安全風(fēng)險(xiǎn)評(píng)估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹17第一次專家評(píng)審會(huì)名單第一次專家評(píng)審會(huì)名單姓姓 名名單單 位位職務(wù)職務(wù)/ /職稱職稱周仲義中國工程院院士熊四皓國務(wù)

9、院信息辦處長王娜國家發(fā)改委高科技司處長姚世權(quán)中國標(biāo)準(zhǔn)化協(xié)會(huì)研究員賈穎禾全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)副秘書長/研究員崔書昆國家信息化專家咨詢委員會(huì)委員/研究員景乾元公安部十一局處長李建彬國稅總局信息中心副處長張宏偉黑龍江省信息產(chǎn)業(yè)廳處長姚麗旋上海市信息化管理委員會(huì)處長肖京華總參三部三局處長馮惠中國電子技術(shù)標(biāo)準(zhǔn)化研究所副主任/高工吳偉國家電網(wǎng)公司處長詹榜華北京市CA中心總經(jīng)理信息安全風(fēng)險(xiǎn)評(píng)估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹18 年年1010月月2727日，國家信息中心在北京組織召開了日，國家信息中心在北京組織召開了信息安全風(fēng)險(xiǎn)評(píng)估國家標(biāo)準(zhǔn)征求意見稿的第二次專家評(píng)審會(huì)。信息安全風(fēng)險(xiǎn)評(píng)估國家標(biāo)準(zhǔn)征求意見稿的第二

10、次專家評(píng)審會(huì)。信息安全風(fēng)險(xiǎn)評(píng)估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹19第二次專家評(píng)審會(huì)名單第二次專家評(píng)審會(huì)名單姓姓 名名單單 位位職務(wù)職務(wù)/ /職稱職稱何義大全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)副主任趙戰(zhàn)生國家信息化咨詢委員會(huì)研究員曲成義國家信息化咨詢委員會(huì)研究員馮登國信息安全863項(xiàng)目專家組組長研究員陳曉樺中國信息安全產(chǎn)品測評(píng)認(rèn)證中心研究員崔書昆國家信息化咨詢委員會(huì)研究員景乾元公安部十一局處長肖京華解放軍信息安全測評(píng)中心處長賈穎禾全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)副秘書長李守鵬中國信息安全產(chǎn)品測評(píng)認(rèn)證中心副主任王同良中石油經(jīng)濟(jì)技術(shù)中心副主任江志強(qiáng)民航總局人事科技司處長謝小權(quán)航天科技集團(tuán)706所副所長呂仲濤中國工商銀行總

11、行信息科技部總工信息安全風(fēng)險(xiǎn)評(píng)估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹20 會(huì)專家認(rèn)為標(biāo)準(zhǔn)起草組做了大量卓有成效的工作，會(huì)專家認(rèn)為標(biāo)準(zhǔn)起草組做了大量卓有成效的工作，標(biāo)準(zhǔn)的結(jié)構(gòu)合理、內(nèi)容完備、可操作性強(qiáng)，并充分考慮與信標(biāo)準(zhǔn)的結(jié)構(gòu)合理、內(nèi)容完備、可操作性強(qiáng)，并充分考慮與信息安全等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)相銜接。文本的編制符合國家標(biāo)準(zhǔn)息安全等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)相銜接。文本的編制符合國家標(biāo)準(zhǔn)的要求。同時(shí)，專家們也對(duì)完善標(biāo)準(zhǔn)提出了進(jìn)一步的修改意的要求。同時(shí)，專家們也對(duì)完善標(biāo)準(zhǔn)提出了進(jìn)一步的修改意見。見。信息安全風(fēng)險(xiǎn)評(píng)估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹21 年年1212月月1414日，由安標(biāo)委第五工作組主持召開了日，由安標(biāo)委第五工作組主持召開了

12、由沈昌祥院士為專家組組長的信息安全風(fēng)險(xiǎn)評(píng)估國家標(biāo)準(zhǔn)送由沈昌祥院士為專家組組長的信息安全風(fēng)險(xiǎn)評(píng)估國家標(biāo)準(zhǔn)送審稿的專家評(píng)審會(huì)。審稿的專家評(píng)審會(huì)。信息安全風(fēng)險(xiǎn)評(píng)估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹22專家評(píng)審會(huì)名單專家評(píng)審會(huì)名單姓姓 名名單單 位位職務(wù)職務(wù)/ /職稱職稱沈昌祥海軍計(jì)算技術(shù)研究所院士吉增瑞公安部信息安全標(biāo)委會(huì)委員研究員趙戰(zhàn)生國家信息化咨詢委員會(huì)研究員卿斯?jié)h中科院信息安全技術(shù)工程研究中心研究員杜虹國家保密技術(shù)研究所所長景乾元公安部十一局處長崔書昆國家信息化咨詢委員會(huì)研究員信息安全風(fēng)險(xiǎn)評(píng)估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹23 會(huì)專家聽取了起草小組的編制說明及內(nèi)容介紹，審閱了會(huì)專家聽取了起草小組的編制說明及內(nèi)容介

13、紹，審閱了相關(guān)文檔資料，經(jīng)質(zhì)詢和討論，一致認(rèn)為：相關(guān)文檔資料，經(jīng)質(zhì)詢和討論，一致認(rèn)為： 一、送審稿規(guī)范了風(fēng)險(xiǎn)評(píng)估的評(píng)估內(nèi)容與范圍、基本概念，明確一、送審稿規(guī)范了風(fēng)險(xiǎn)評(píng)估的評(píng)估內(nèi)容與范圍、基本概念，明確 了資產(chǎn)、威脅、脆弱性和安全風(fēng)險(xiǎn)等關(guān)鍵要素及其賦值原則和了資產(chǎn)、威脅、脆弱性和安全風(fēng)險(xiǎn)等關(guān)鍵要素及其賦值原則和 要求，提出了實(shí)施流程與操作步驟、評(píng)估規(guī)則與基本方法，并要求，提出了實(shí)施流程與操作步驟、評(píng)估規(guī)則與基本方法，并 充分考慮與信息安全等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)相銜接。充分考慮與信息安全等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)相銜接。 二、送審稿的操作性較強(qiáng)，對(duì)開展風(fēng)險(xiǎn)評(píng)估工作具有指導(dǎo)作用，二、送審稿的操作性較強(qiáng)，對(duì)開展風(fēng)險(xiǎn)評(píng)

14、估工作具有指導(dǎo)作用， 并在國務(wù)院信息辦組織的風(fēng)險(xiǎn)評(píng)估試點(diǎn)中得到了進(jìn)一步的實(shí)踐并在國務(wù)院信息辦組織的風(fēng)險(xiǎn)評(píng)估試點(diǎn)中得到了進(jìn)一步的實(shí)踐 驗(yàn)證和充實(shí)完善。驗(yàn)證和充實(shí)完善。 三、文本的編制符合國家標(biāo)準(zhǔn)三、文本的編制符合國家標(biāo)準(zhǔn)GB1.1GB1.1的要求。的要求。 專家組認(rèn)為送審稿達(dá)到國家標(biāo)準(zhǔn)送審稿的要求，同意通過評(píng)專家組認(rèn)為送審稿達(dá)到國家標(biāo)準(zhǔn)送審稿的要求，同意通過評(píng) 審。建議起草組根據(jù)專家意見盡快修改完善后申報(bào)。審。建議起草組根據(jù)專家意見盡快修改完善后申報(bào)。信息安全風(fēng)險(xiǎn)評(píng)估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹24 年月日和月日，在國信辦進(jìn)行的年月日和月日，在國信辦進(jìn)行的行業(yè)和省市的風(fēng)險(xiǎn)評(píng)估政策文件的兩次宣貫會(huì)上，信

15、息安全行業(yè)和省市的風(fēng)險(xiǎn)評(píng)估政策文件的兩次宣貫會(huì)上，信息安全風(fēng)險(xiǎn)評(píng)估征求意見稿以國信辦文件的形式下發(fā)，為各行業(yè)和風(fēng)險(xiǎn)評(píng)估征求意見稿以國信辦文件的形式下發(fā)，為各行業(yè)和省市開展風(fēng)險(xiǎn)評(píng)估提供技術(shù)依據(jù)。省市開展風(fēng)險(xiǎn)評(píng)估提供技術(shù)依據(jù)。信息安全風(fēng)險(xiǎn)評(píng)估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹25 年年4 4月月1818日，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員日，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員（安標(biāo)委）會(huì)第五工作組（安標(biāo)委）會(huì)第五工作組（WG5WG5）在北京召開全體工作組成員）在北京召開全體工作組成員標(biāo)準(zhǔn)投票會(huì)議，對(duì)信息安全風(fēng)險(xiǎn)評(píng)估國家標(biāo)準(zhǔn)送審稿進(jìn)行工標(biāo)準(zhǔn)投票會(huì)議，對(duì)信息安全風(fēng)險(xiǎn)評(píng)估國家標(biāo)準(zhǔn)送審稿進(jìn)行工作組全體成員投票表決。與會(huì)的三十幾位專

16、家聽取了標(biāo)準(zhǔn)起作組全體成員投票表決。與會(huì)的三十幾位專家聽取了標(biāo)準(zhǔn)起草組對(duì)草組對(duì)指南指南的編制過程以及主要內(nèi)容的介紹，經(jīng)投票一的編制過程以及主要內(nèi)容的介紹，經(jīng)投票一致通過了標(biāo)準(zhǔn)的評(píng)審。致通過了標(biāo)準(zhǔn)的評(píng)審。 信息安全風(fēng)險(xiǎn)評(píng)估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹26 年年6 6月月1919日，全國信息安全標(biāo)準(zhǔn)化技術(shù)委日，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)秘書處在北京組織召開了信息安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)送審員會(huì)秘書處在北京組織召開了信息安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)送審稿的專家審查會(huì)，與會(huì)專家經(jīng)質(zhì)詢和討論，將標(biāo)準(zhǔn)正式命稿的專家審查會(huì)，與會(huì)專家經(jīng)質(zhì)詢和討論，將標(biāo)準(zhǔn)正式命名為名為信息安全技術(shù)信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范

17、，認(rèn)為，認(rèn)為該標(biāo)準(zhǔn)達(dá)到國家標(biāo)準(zhǔn)送審稿的要求，同意通過評(píng)審。該標(biāo)準(zhǔn)達(dá)到國家標(biāo)準(zhǔn)送審稿的要求，同意通過評(píng)審。 會(huì)后，國家信息中心先后與各起草單位和有關(guān)專家會(huì)后，國家信息中心先后與各起草單位和有關(guān)專家就標(biāo)準(zhǔn)規(guī)范報(bào)批稿的修改進(jìn)行了進(jìn)一步的研討，并逐一落就標(biāo)準(zhǔn)規(guī)范報(bào)批稿的修改進(jìn)行了進(jìn)一步的研討，并逐一落實(shí)了專家提出的意見。實(shí)了專家提出的意見。 信息安全風(fēng)險(xiǎn)評(píng)估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹27 年年7 7月月1919日，日， 全國信息安全標(biāo)準(zhǔn)化委員全國信息安全標(biāo)準(zhǔn)化委員會(huì)主任辦公會(huì)上討論通過了會(huì)主任辦公會(huì)上討論通過了信息安全技術(shù)信息安全技術(shù) 信息安全風(fēng)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范險(xiǎn)評(píng)估規(guī)范( (報(bào)批稿報(bào)批稿),),目前

18、已進(jìn)入報(bào)批程序。目前已進(jìn)入報(bào)批程序。信息安全風(fēng)險(xiǎn)評(píng)估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹28主要內(nèi)容主要內(nèi)容一、標(biāo)準(zhǔn)的編制過程一、標(biāo)準(zhǔn)的編制過程二、標(biāo)準(zhǔn)的主要內(nèi)容二、標(biāo)準(zhǔn)的主要內(nèi)容三、下一步工作的幾點(diǎn)思考三、下一步工作的幾點(diǎn)思考信息安全風(fēng)險(xiǎn)評(píng)估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹29二、標(biāo)準(zhǔn)的主要內(nèi)容二、標(biāo)準(zhǔn)的主要內(nèi)容1 1、什么是風(fēng)險(xiǎn)評(píng)估、什么是風(fēng)險(xiǎn)評(píng)估2 2、為什么要做風(fēng)險(xiǎn)評(píng)估、為什么要做風(fēng)險(xiǎn)評(píng)估3 3、風(fēng)險(xiǎn)評(píng)估怎么做、風(fēng)險(xiǎn)評(píng)估怎么做信息安全風(fēng)險(xiǎn)評(píng)估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹30二、標(biāo)準(zhǔn)的主要內(nèi)容二、標(biāo)準(zhǔn)的主要內(nèi)容1 1、什么是風(fēng)險(xiǎn)評(píng)估、什么是風(fēng)險(xiǎn)評(píng)估2 2、為什么要做風(fēng)險(xiǎn)評(píng)估、為什么要做風(fēng)險(xiǎn)評(píng)估3 3、風(fēng)險(xiǎn)評(píng)估怎么做、

19、風(fēng)險(xiǎn)評(píng)估怎么做信息安全風(fēng)險(xiǎn)評(píng)估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹311 1、什么是風(fēng)險(xiǎn)評(píng)估、什么是風(fēng)險(xiǎn)評(píng)估 信息安全風(fēng)險(xiǎn)信息安全風(fēng)險(xiǎn) 人為或自然的威脅利用信息系統(tǒng)及其人為或自然的威脅利用信息系統(tǒng)及其管理體系中存在的脆弱性導(dǎo)致安全事件的發(fā)生及其對(duì)組織管理體系中存在的脆弱性導(dǎo)致安全事件的發(fā)生及其對(duì)組織造成的影響。造成的影響。 信息安全風(fēng)險(xiǎn)評(píng)估信息安全風(fēng)險(xiǎn)評(píng)估 依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn)，對(duì)信息系統(tǒng)及由其處理、傳輸和存儲(chǔ)的信息的保密性、準(zhǔn)，對(duì)信息系統(tǒng)及由其處理、傳輸和存儲(chǔ)的信息的保密性、完整性和可用性等安全屬性進(jìn)行評(píng)價(jià)的過程。它要評(píng)估資完整性和可用性等安全屬性進(jìn)行評(píng)價(jià)的過程。它要

20、評(píng)估資產(chǎn)面臨的威脅以及威脅利用脆弱性導(dǎo)致安全事件的可能性，產(chǎn)面臨的威脅以及威脅利用脆弱性導(dǎo)致安全事件的可能性，并結(jié)合安全事件所涉及的資產(chǎn)價(jià)值來判斷安全事件一旦發(fā)并結(jié)合安全事件所涉及的資產(chǎn)價(jià)值來判斷安全事件一旦發(fā)生對(duì)組織造成的影響。生對(duì)組織造成的影響。信息安全風(fēng)險(xiǎn)評(píng)估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹32風(fēng)險(xiǎn)評(píng)估要素關(guān)系圖風(fēng)險(xiǎn)評(píng)估要素關(guān)系圖 圖中方框部分的內(nèi)容為風(fēng)險(xiǎn)評(píng)估的基圖中方框部分的內(nèi)容為風(fēng)險(xiǎn)評(píng)估的基本要素本要素; ;橢圓部分的內(nèi)容是與這些要素相橢圓部分的內(nèi)容是與這些要素相關(guān)的屬性。關(guān)的屬性。 風(fēng)險(xiǎn)評(píng)估圍繞著基本要素展開，同時(shí)風(fēng)險(xiǎn)評(píng)估圍繞著基本要素展開，同時(shí)需要充分考慮與基本要素相關(guān)的各類屬性需要充分考

21、慮與基本要素相關(guān)的各類屬性。（1 1）業(yè)務(wù)戰(zhàn)略的實(shí)現(xiàn)對(duì)資產(chǎn)具有依賴性，依賴程度）業(yè)務(wù)戰(zhàn)略的實(shí)現(xiàn)對(duì)資產(chǎn)具有依賴性，依賴程度越高，要求其風(fēng)險(xiǎn)越小；越高，要求其風(fēng)險(xiǎn)越小；（2 2）資產(chǎn)是有價(jià)值的，組織的業(yè)務(wù)戰(zhàn)略對(duì)資產(chǎn)的依）資產(chǎn)是有價(jià)值的，組織的業(yè)務(wù)戰(zhàn)略對(duì)資產(chǎn)的依賴程度越高，資產(chǎn)價(jià)值就越大；賴程度越高，資產(chǎn)價(jià)值就越大；（3 3）風(fēng)險(xiǎn)是由威脅引發(fā)的，資產(chǎn)面臨的威脅越多則）風(fēng)險(xiǎn)是由威脅引發(fā)的，資產(chǎn)面臨的威脅越多則風(fēng)險(xiǎn)越大，并可能演變成安全事件；風(fēng)險(xiǎn)越大，并可能演變成安全事件；（4 4）資產(chǎn)的脆弱性可以暴露資產(chǎn)的價(jià)值，資產(chǎn)具有）資產(chǎn)的脆弱性可以暴露資產(chǎn)的價(jià)值，資產(chǎn)具有的弱點(diǎn)越多則風(fēng)險(xiǎn)越大；的弱點(diǎn)越多則風(fēng)險(xiǎn)越

22、大；（5 5）脆弱性是未被滿足的安全需求，威脅利用脆弱）脆弱性是未被滿足的安全需求，威脅利用脆弱性危害資產(chǎn)；性危害資產(chǎn)；（6 6）風(fēng)險(xiǎn)的存在及對(duì)風(fēng)險(xiǎn)的認(rèn)識(shí)導(dǎo)出安全需求；）風(fēng)險(xiǎn)的存在及對(duì)風(fēng)險(xiǎn)的認(rèn)識(shí)導(dǎo)出安全需求；（7 7）安全需求可通過安全措施得以滿足，需要結(jié)合）安全需求可通過安全措施得以滿足，需要結(jié)合資產(chǎn)價(jià)值考慮實(shí)施成本；資產(chǎn)價(jià)值考慮實(shí)施成本；（8 8）安全措施可抵御威脅，降低風(fēng)險(xiǎn)；）安全措施可抵御威脅，降低風(fēng)險(xiǎn)；（9 9）殘余風(fēng)險(xiǎn)是未被安全措施控制的風(fēng)險(xiǎn)。有些是）殘余風(fēng)險(xiǎn)是未被安全措施控制的風(fēng)險(xiǎn)。有些是安全措施不當(dāng)或無效安全措施不當(dāng)或無效, ,需要加強(qiáng)才可控制的風(fēng)險(xiǎn)；而需要加強(qiáng)才可控制的風(fēng)險(xiǎn)；

23、而有些則是在綜合考慮了安全成本與效益后未去控制的有些則是在綜合考慮了安全成本與效益后未去控制的風(fēng)險(xiǎn)；風(fēng)險(xiǎn)；（1010）殘余風(fēng)險(xiǎn)應(yīng)受到密切監(jiān)視，它可能會(huì)在將來誘）殘余風(fēng)險(xiǎn)應(yīng)受到密切監(jiān)視，它可能會(huì)在將來誘發(fā)新的安全事件。發(fā)新的安全事件。信息安全風(fēng)險(xiǎn)評(píng)估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹33二、標(biāo)準(zhǔn)的主要內(nèi)容二、標(biāo)準(zhǔn)的主要內(nèi)容1 1、什么是風(fēng)險(xiǎn)評(píng)估、什么是風(fēng)險(xiǎn)評(píng)估2 2、為什么要做風(fēng)險(xiǎn)評(píng)估、為什么要做風(fēng)險(xiǎn)評(píng)估3 3、風(fēng)險(xiǎn)評(píng)估怎么做、風(fēng)險(xiǎn)評(píng)估怎么做信息安全風(fēng)險(xiǎn)評(píng)估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹342 2、為什么要做風(fēng)險(xiǎn)評(píng)估、為什么要做風(fēng)險(xiǎn)評(píng)估 安安全源于風(fēng)險(xiǎn)全源于風(fēng)險(xiǎn)。 在信息化建設(shè)中，建設(shè)與運(yùn)營的網(wǎng)絡(luò)與信息系統(tǒng)由于可能

24、在信息化建設(shè)中，建設(shè)與運(yùn)營的網(wǎng)絡(luò)與信息系統(tǒng)由于可能存在的系統(tǒng)設(shè)計(jì)缺陷、隱含于軟硬件設(shè)備的缺陷、系統(tǒng)集成時(shí)存在的系統(tǒng)設(shè)計(jì)缺陷、隱含于軟硬件設(shè)備的缺陷、系統(tǒng)集成時(shí)帶來的缺陷，以及可能存在的某些管理薄弱環(huán)節(jié)，尤其當(dāng)網(wǎng)絡(luò)帶來的缺陷，以及可能存在的某些管理薄弱環(huán)節(jié)，尤其當(dāng)網(wǎng)絡(luò)與信息系統(tǒng)中擁有極為重要的信息資產(chǎn)時(shí)，都將使得面臨復(fù)雜與信息系統(tǒng)中擁有極為重要的信息資產(chǎn)時(shí)，都將使得面臨復(fù)雜環(huán)境的網(wǎng)絡(luò)與信息系統(tǒng)潛在著若干不同程度的安全風(fēng)險(xiǎn)。環(huán)境的網(wǎng)絡(luò)與信息系統(tǒng)潛在著若干不同程度的安全風(fēng)險(xiǎn)。 信息安全風(fēng)險(xiǎn)評(píng)估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹35 險(xiǎn)評(píng)估可以不斷深入地發(fā)現(xiàn)系統(tǒng)建設(shè)中的安全隱患，險(xiǎn)評(píng)估可以不斷深入地發(fā)現(xiàn)系統(tǒng)建設(shè)中

25、的安全隱患，采取或完善更加經(jīng)濟(jì)有效的安全保障措施，來采取或完善更加經(jīng)濟(jì)有效的安全保障措施，來消除安全建設(shè)消除安全建設(shè)中的盲目樂觀或盲目恐懼，提出有針對(duì)性的從實(shí)際出發(fā)的解中的盲目樂觀或盲目恐懼，提出有針對(duì)性的從實(shí)際出發(fā)的解決方法，提高系統(tǒng)安全的科學(xué)管理水平，進(jìn)而全面提升網(wǎng)絡(luò)決方法，提高系統(tǒng)安全的科學(xué)管理水平，進(jìn)而全面提升網(wǎng)絡(luò)與信息系統(tǒng)的安全保障能力。與信息系統(tǒng)的安全保障能力。 信息安全風(fēng)險(xiǎn)評(píng)估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹36 息安全風(fēng)險(xiǎn)評(píng)估，是從風(fēng)險(xiǎn)管理角度，運(yùn)用科學(xué)息安全風(fēng)險(xiǎn)評(píng)估，是從風(fēng)險(xiǎn)管理角度，運(yùn)用科學(xué)的方法和手段，系統(tǒng)地分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅的方法和手段，系統(tǒng)地分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨

26、的威脅及其存在的脆弱性，評(píng)估安全事件一旦發(fā)生可能造成的危及其存在的脆弱性，評(píng)估安全事件一旦發(fā)生可能造成的危害程度，提出有針對(duì)性的抵御威脅的防護(hù)對(duì)策和整改措施。害程度，提出有針對(duì)性的抵御威脅的防護(hù)對(duì)策和整改措施。并為防范和化解信息安全風(fēng)險(xiǎn)，或者將風(fēng)險(xiǎn)控制在可接受并為防范和化解信息安全風(fēng)險(xiǎn)，或者將風(fēng)險(xiǎn)控制在可接受的水平，從而最大限度地保障網(wǎng)絡(luò)和信息安全提供科學(xué)依的水平，從而最大限度地保障網(wǎng)絡(luò)和信息安全提供科學(xué)依據(jù)。據(jù)。（國信辦（國信辦2006520065號(hào)文件）號(hào)文件）信息安全風(fēng)險(xiǎn)評(píng)估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹37二、標(biāo)準(zhǔn)的主要內(nèi)容二、標(biāo)準(zhǔn)的主要內(nèi)容1 1、什么是風(fēng)險(xiǎn)評(píng)估、什么是風(fēng)險(xiǎn)評(píng)估2 2、為什么

27、要做風(fēng)險(xiǎn)評(píng)估、為什么要做風(fēng)險(xiǎn)評(píng)估3 3、風(fēng)險(xiǎn)評(píng)估怎么做、風(fēng)險(xiǎn)評(píng)估怎么做信息安全風(fēng)險(xiǎn)評(píng)估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹383、風(fēng)險(xiǎn)評(píng)估怎么做、風(fēng)險(xiǎn)評(píng)估怎么做 - -風(fēng)險(xiǎn)評(píng)估實(shí)施流程風(fēng)險(xiǎn)評(píng)估實(shí)施流程 - -風(fēng)險(xiǎn)評(píng)估的形式風(fēng)險(xiǎn)評(píng)估的形式 - -信息系統(tǒng)生命周期各階段的風(fēng)險(xiǎn)評(píng)估信息系統(tǒng)生命周期各階段的風(fēng)險(xiǎn)評(píng)估 信息安全風(fēng)險(xiǎn)評(píng)估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹393、風(fēng)險(xiǎn)評(píng)估怎么做、風(fēng)險(xiǎn)評(píng)估怎么做 - -風(fēng)險(xiǎn)評(píng)估實(shí)施流程風(fēng)險(xiǎn)評(píng)估實(shí)施流程 - -風(fēng)險(xiǎn)評(píng)估的形式風(fēng)險(xiǎn)評(píng)估的形式 - -信息系統(tǒng)生命周期各階段的風(fēng)險(xiǎn)評(píng)估信息系統(tǒng)生命周期各階段的風(fēng)險(xiǎn)評(píng)估 信息安全風(fēng)險(xiǎn)評(píng)估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹40風(fēng)險(xiǎn)評(píng)估的實(shí)施流程風(fēng)險(xiǎn)評(píng)估的實(shí)施流程

28、信息安全風(fēng)險(xiǎn)評(píng)估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹41 實(shí)施步驟實(shí)施步驟(1) (1) 風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備(2) (2) 資產(chǎn)識(shí)別資產(chǎn)識(shí)別(3) (3) 威脅識(shí)別威脅識(shí)別(4) (4) 脆弱性識(shí)別脆弱性識(shí)別(5) (5) 已有安全措施的確認(rèn)已有安全措施的確認(rèn)(6) (6) 風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)分析(7) (7) 風(fēng)險(xiǎn)評(píng)估文件記錄風(fēng)險(xiǎn)評(píng)估文件記錄信息安全風(fēng)險(xiǎn)評(píng)估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹423、風(fēng)險(xiǎn)評(píng)估怎么做、風(fēng)險(xiǎn)評(píng)估怎么做 - -風(fēng)險(xiǎn)評(píng)估實(shí)施流程風(fēng)險(xiǎn)評(píng)估實(shí)施流程 - -風(fēng)險(xiǎn)評(píng)估的形式風(fēng)險(xiǎn)評(píng)估的形式 - -信息系統(tǒng)生命周期各階段的風(fēng)險(xiǎn)評(píng)估信息系統(tǒng)生命周期各階段的風(fēng)險(xiǎn)評(píng)估 信息安全風(fēng)險(xiǎn)評(píng)估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹

29、43 息安全風(fēng)險(xiǎn)評(píng)估分為自評(píng)估、檢查評(píng)估兩種形式。息安全風(fēng)險(xiǎn)評(píng)估分為自評(píng)估、檢查評(píng)估兩種形式。自評(píng)估為主，自評(píng)估和檢查評(píng)估相互結(jié)合、互為補(bǔ)充。自自評(píng)估為主，自評(píng)估和檢查評(píng)估相互結(jié)合、互為補(bǔ)充。自評(píng)估和檢查評(píng)估可依托自身技術(shù)力量進(jìn)行，也可委托第三評(píng)估和檢查評(píng)估可依托自身技術(shù)力量進(jìn)行，也可委托第三方機(jī)構(gòu)提供技術(shù)支持。方機(jī)構(gòu)提供技術(shù)支持。 風(fēng)險(xiǎn)評(píng)估的形式風(fēng)險(xiǎn)評(píng)估的形式信息安全風(fēng)險(xiǎn)評(píng)估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹44 自評(píng)估自評(píng)估 評(píng)估可由發(fā)起方實(shí)施或委托風(fēng)險(xiǎn)評(píng)估服務(wù)技術(shù)支持方評(píng)估可由發(fā)起方實(shí)施或委托風(fēng)險(xiǎn)評(píng)估服務(wù)技術(shù)支持方實(shí)施。由發(fā)起方實(shí)施的評(píng)估可以降低實(shí)施的費(fèi)用、提高信息系實(shí)施。由發(fā)起方實(shí)施的評(píng)估可以降低

30、實(shí)施的費(fèi)用、提高信息系統(tǒng)相關(guān)人員的安全意識(shí)，但可能由于缺乏風(fēng)險(xiǎn)評(píng)估的專業(yè)技能，統(tǒng)相關(guān)人員的安全意識(shí)，但可能由于缺乏風(fēng)險(xiǎn)評(píng)估的專業(yè)技能，其結(jié)果不夠深入準(zhǔn)確；同時(shí)，受到組織內(nèi)部各種因素的影響，其結(jié)果不夠深入準(zhǔn)確；同時(shí)，受到組織內(nèi)部各種因素的影響，其評(píng)估結(jié)果的客觀性易受影響。委托風(fēng)險(xiǎn)評(píng)估服務(wù)技術(shù)支持方其評(píng)估結(jié)果的客觀性易受影響。委托風(fēng)險(xiǎn)評(píng)估服務(wù)技術(shù)支持方實(shí)施的評(píng)估，過程比較規(guī)范、評(píng)估結(jié)果的客觀性比較好，可信實(shí)施的評(píng)估，過程比較規(guī)范、評(píng)估結(jié)果的客觀性比較好，可信程度較高；但由于受到行業(yè)知識(shí)技能及業(yè)務(wù)了解的限制，對(duì)被程度較高；但由于受到行業(yè)知識(shí)技能及業(yè)務(wù)了解的限制，對(duì)被評(píng)估系統(tǒng)的了解，尤其是在業(yè)務(wù)方面的

31、特殊要求存在一定的局評(píng)估系統(tǒng)的了解，尤其是在業(yè)務(wù)方面的特殊要求存在一定的局限。但由于引入第三方本身就是一個(gè)風(fēng)險(xiǎn)因素，因此，對(duì)其背限。但由于引入第三方本身就是一個(gè)風(fēng)險(xiǎn)因素，因此，對(duì)其背景與資質(zhì)、評(píng)估過程與結(jié)果的保密要求等方面應(yīng)進(jìn)行控制。景與資質(zhì)、評(píng)估過程與結(jié)果的保密要求等方面應(yīng)進(jìn)行控制。信息安全風(fēng)險(xiǎn)評(píng)估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹45 自評(píng)估中的自評(píng)估中的“自自”不僅僅是指自已做評(píng)估的不僅僅是指自已做評(píng)估的“自自”，也不，也不僅僅是指自愿做評(píng)估的僅僅是指自愿做評(píng)估的“自自”。由于。由于“誰主管誰負(fù)責(zé)誰主管誰負(fù)責(zé)”，出，出于對(duì)自身信息系統(tǒng)的安全責(zé)任考慮，信息系統(tǒng)主管者應(yīng)定期于對(duì)自身信息系統(tǒng)的安全責(zé)任考慮

32、，信息系統(tǒng)主管者應(yīng)定期對(duì)系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估，具體實(shí)施時(shí)可以依托自身的評(píng)估隊(duì)伍對(duì)系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估，具體實(shí)施時(shí)可以依托自身的評(píng)估隊(duì)伍進(jìn)行，也可委托有資質(zhì)的第三方提供評(píng)估服務(wù)技術(shù)支持，但進(jìn)行，也可委托有資質(zhì)的第三方提供評(píng)估服務(wù)技術(shù)支持，但無論是哪一種形式，責(zé)任都是由信息系統(tǒng)主管者自已擔(dān)負(fù)的。無論是哪一種形式，責(zé)任都是由信息系統(tǒng)主管者自已擔(dān)負(fù)的。因此，自評(píng)估中的因此，自評(píng)估中的“自自”的含義是自已負(fù)責(zé)的的含義是自已負(fù)責(zé)的“自自”。包括。包括自已負(fù)責(zé)系統(tǒng)的安全、自己發(fā)起對(duì)信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估以及自已負(fù)責(zé)系統(tǒng)的安全、自己發(fā)起對(duì)信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估以及自己負(fù)責(zé)為保障系統(tǒng)安全所做的風(fēng)險(xiǎn)評(píng)估的安全等。自己負(fù)責(zé)為保障系

33、統(tǒng)安全所做的風(fēng)險(xiǎn)評(píng)估的安全等。信息安全風(fēng)險(xiǎn)評(píng)估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹46 此外，為保證風(fēng)險(xiǎn)評(píng)估的實(shí)施，與系統(tǒng)相連的相關(guān)方也此外，為保證風(fēng)險(xiǎn)評(píng)估的實(shí)施，與系統(tǒng)相連的相關(guān)方也應(yīng)配合，以防止給其他方的使用帶來困難或引入新的風(fēng)險(xiǎn)也應(yīng)配合，以防止給其他方的使用帶來困難或引入新的風(fēng)險(xiǎn)也往往較多，因此，要對(duì)實(shí)施檢查評(píng)估機(jī)構(gòu)的資質(zhì)進(jìn)行嚴(yán)格管往往較多，因此，要對(duì)實(shí)施檢查評(píng)估機(jī)構(gòu)的資質(zhì)進(jìn)行嚴(yán)格管理。理。信息安全風(fēng)險(xiǎn)評(píng)估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹47 檢查評(píng)估檢查評(píng)估 查評(píng)估是指信息系統(tǒng)上級(jí)管理部門組織的或國家有查評(píng)估是指信息系統(tǒng)上級(jí)管理部門組織的或國家有關(guān)職能部門依法開展的風(fēng)險(xiǎn)評(píng)估。關(guān)職能部門依法開展的風(fēng)險(xiǎn)評(píng)估。 檢

34、查評(píng)估可依據(jù)本標(biāo)準(zhǔn)的要求，實(shí)施完整的風(fēng)險(xiǎn)評(píng)估過程。檢查評(píng)估可依據(jù)本標(biāo)準(zhǔn)的要求，實(shí)施完整的風(fēng)險(xiǎn)評(píng)估過程。信息安全風(fēng)險(xiǎn)評(píng)估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹48 一是風(fēng)險(xiǎn)評(píng)估究其根本是評(píng)估系統(tǒng)的敏感信息，涉及大量一是風(fēng)險(xiǎn)評(píng)估究其根本是評(píng)估系統(tǒng)的敏感信息，涉及大量的安全問題，完全委托第三方將帶來評(píng)估本身的風(fēng)險(xiǎn)；的安全問題，完全委托第三方將帶來評(píng)估本身的風(fēng)險(xiǎn)； 二是進(jìn)行風(fēng)險(xiǎn)評(píng)估要求評(píng)估人員既要了解評(píng)估本身的一套二是進(jìn)行風(fēng)險(xiǎn)評(píng)估要求評(píng)估人員既要了解評(píng)估本身的一套方法與流程，還要了解被評(píng)估系統(tǒng)的業(yè)務(wù)特性，這對(duì)于完全方法與流程，還要了解被評(píng)估系統(tǒng)的業(yè)務(wù)特性，這對(duì)于完全從事評(píng)估的第三方來講，在短時(shí)間內(nèi)了解每個(gè)系統(tǒng)的業(yè)務(wù)特

35、從事評(píng)估的第三方來講，在短時(shí)間內(nèi)了解每個(gè)系統(tǒng)的業(yè)務(wù)特性難度是比較大的；性難度是比較大的； 三是風(fēng)險(xiǎn)評(píng)估工作流程中常常要求被評(píng)估方向評(píng)估方提供三是風(fēng)險(xiǎn)評(píng)估工作流程中常常要求被評(píng)估方向評(píng)估方提供各種信息，需要之間的良好互動(dòng)以及多方會(huì)商，單靠評(píng)估方各種信息，需要之間的良好互動(dòng)以及多方會(huì)商，單靠評(píng)估方第三方是無法完成系統(tǒng)評(píng)估的。第三方是無法完成系統(tǒng)評(píng)估的。 基于以上原因，委托評(píng)估技術(shù)支持比委托評(píng)估的提法更為基于以上原因，委托評(píng)估技術(shù)支持比委托評(píng)估的提法更為切合實(shí)際。并且，提供委托評(píng)估技術(shù)支持的機(jī)構(gòu)應(yīng)具有相應(yīng)切合實(shí)際。并且，提供委托評(píng)估技術(shù)支持的機(jī)構(gòu)應(yīng)具有相應(yīng)的資質(zhì)。的資質(zhì)。信息安全風(fēng)險(xiǎn)評(píng)估國家標(biāo)準(zhǔn)編制

36、及內(nèi)容介紹493、風(fēng)險(xiǎn)評(píng)估怎么做、風(fēng)險(xiǎn)評(píng)估怎么做 - -風(fēng)險(xiǎn)評(píng)估實(shí)施流程風(fēng)險(xiǎn)評(píng)估實(shí)施流程 - -風(fēng)險(xiǎn)評(píng)估的形式風(fēng)險(xiǎn)評(píng)估的形式 - -信息系統(tǒng)生命周期各階段的風(fēng)險(xiǎn)評(píng)估信息系統(tǒng)生命周期各階段的風(fēng)險(xiǎn)評(píng)估 信息安全風(fēng)險(xiǎn)評(píng)估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹50 信息安全風(fēng)險(xiǎn)評(píng)估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹51規(guī)劃階段的風(fēng)險(xiǎn)評(píng)估規(guī)劃階段的風(fēng)險(xiǎn)評(píng)估設(shè)計(jì)階段的風(fēng)險(xiǎn)評(píng)估設(shè)計(jì)階段的風(fēng)險(xiǎn)評(píng)估實(shí)施階段的風(fēng)險(xiǎn)評(píng)估實(shí)施階段的風(fēng)險(xiǎn)評(píng)估運(yùn)行維護(hù)階段的風(fēng)險(xiǎn)評(píng)估運(yùn)行維護(hù)階段的風(fēng)險(xiǎn)評(píng)估廢棄階段的風(fēng)險(xiǎn)評(píng)估廢棄階段的風(fēng)險(xiǎn)評(píng)估信息安全風(fēng)險(xiǎn)評(píng)估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹52 規(guī)劃階段的風(fēng)險(xiǎn)評(píng)估規(guī)劃階段的風(fēng)險(xiǎn)評(píng)估 劃階段風(fēng)險(xiǎn)評(píng)估的目的是識(shí)別系統(tǒng)的業(yè)務(wù)戰(zhàn)略，劃階

37、段風(fēng)險(xiǎn)評(píng)估的目的是識(shí)別系統(tǒng)的業(yè)務(wù)戰(zhàn)略，以支撐系統(tǒng)安全需求及安全戰(zhàn)略等。規(guī)劃階段的評(píng)估應(yīng)能以支撐系統(tǒng)安全需求及安全戰(zhàn)略等。規(guī)劃階段的評(píng)估應(yīng)能夠描述信息系統(tǒng)建成后對(duì)現(xiàn)有業(yè)務(wù)模式的作用，包括技術(shù)、夠描述信息系統(tǒng)建成后對(duì)現(xiàn)有業(yè)務(wù)模式的作用，包括技術(shù)、管理等方面，并根據(jù)其作用確定系統(tǒng)建設(shè)應(yīng)達(dá)到的安全目管理等方面，并根據(jù)其作用確定系統(tǒng)建設(shè)應(yīng)達(dá)到的安全目標(biāo)。標(biāo)。 信息安全風(fēng)險(xiǎn)評(píng)估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹53 設(shè)計(jì)階段的風(fēng)險(xiǎn)評(píng)估設(shè)計(jì)階段的風(fēng)險(xiǎn)評(píng)估 計(jì)階段的風(fēng)險(xiǎn)評(píng)估需要根據(jù)規(guī)劃階段所明確的系計(jì)階段的風(fēng)險(xiǎn)評(píng)估需要根據(jù)規(guī)劃階段所明確的系統(tǒng)運(yùn)行環(huán)境、資產(chǎn)重要性，提出安全功能需求。設(shè)計(jì)階段統(tǒng)運(yùn)行環(huán)境、資產(chǎn)重要性，提出安全

38、功能需求。設(shè)計(jì)階段的風(fēng)險(xiǎn)評(píng)估結(jié)果應(yīng)對(duì)設(shè)計(jì)方案中所提供的安全功能符合性的風(fēng)險(xiǎn)評(píng)估結(jié)果應(yīng)對(duì)設(shè)計(jì)方案中所提供的安全功能符合性進(jìn)行判斷，作為采購過程風(fēng)險(xiǎn)控制的依據(jù)。進(jìn)行判斷，作為采購過程風(fēng)險(xiǎn)控制的依據(jù)。信息安全風(fēng)險(xiǎn)評(píng)估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹54實(shí)施階段的風(fēng)險(xiǎn)評(píng)估實(shí)施階段的風(fēng)險(xiǎn)評(píng)估 施階段風(fēng)險(xiǎn)評(píng)估的目的是根據(jù)系統(tǒng)安全需求和運(yùn)行施階段風(fēng)險(xiǎn)評(píng)估的目的是根據(jù)系統(tǒng)安全需求和運(yùn)行環(huán)境對(duì)系統(tǒng)開發(fā)、實(shí)施過程進(jìn)行風(fēng)險(xiǎn)識(shí)別，并對(duì)系統(tǒng)建成后環(huán)境對(duì)系統(tǒng)開發(fā)、實(shí)施過程進(jìn)行風(fēng)險(xiǎn)識(shí)別，并對(duì)系統(tǒng)建成后的安全功能進(jìn)行驗(yàn)證。根據(jù)設(shè)計(jì)階段分析的威脅和制定的安的安全功能進(jìn)行驗(yàn)證。根據(jù)設(shè)計(jì)階段分析的威脅和制定的安全措施，在實(shí)施及驗(yàn)收時(shí)進(jìn)行質(zhì)量

39、控制。全措施，在實(shí)施及驗(yàn)收時(shí)進(jìn)行質(zhì)量控制。 基于設(shè)計(jì)階段的資產(chǎn)列表、安全措施，實(shí)施階段應(yīng)對(duì)規(guī)基于設(shè)計(jì)階段的資產(chǎn)列表、安全措施，實(shí)施階段應(yīng)對(duì)規(guī)劃階段的安全威脅進(jìn)行進(jìn)一步細(xì)分，同時(shí)評(píng)估安全措施的實(shí)劃階段的安全威脅進(jìn)行進(jìn)一步細(xì)分，同時(shí)評(píng)估安全措施的實(shí)現(xiàn)程度，從而確定安全措施能否抵御現(xiàn)有威脅、脆弱性的影現(xiàn)程度，從而確定安全措施能否抵御現(xiàn)有威脅、脆弱性的影響。實(shí)施階段風(fēng)險(xiǎn)評(píng)估主要對(duì)系統(tǒng)的開發(fā)與技術(shù)響。實(shí)施階段風(fēng)險(xiǎn)評(píng)估主要對(duì)系統(tǒng)的開發(fā)與技術(shù)/ /產(chǎn)品獲取、產(chǎn)品獲取、系統(tǒng)交付實(shí)施兩個(gè)過程進(jìn)行評(píng)估。系統(tǒng)交付實(shí)施兩個(gè)過程進(jìn)行評(píng)估。信息安全風(fēng)險(xiǎn)評(píng)估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹55 運(yùn)行維護(hù)階段的風(fēng)險(xiǎn)評(píng)估運(yùn)行維護(hù)階段的風(fēng)

40、險(xiǎn)評(píng)估 運(yùn)行維護(hù)階段風(fēng)險(xiǎn)評(píng)估的目的是了解和控制運(yùn)行過程中的安全風(fēng)險(xiǎn)，運(yùn)行維護(hù)階段風(fēng)險(xiǎn)評(píng)估的目的是了解和控制運(yùn)行過程中的安全風(fēng)險(xiǎn)，是一種較為全面的風(fēng)險(xiǎn)評(píng)估。評(píng)估內(nèi)容包括對(duì)真實(shí)運(yùn)行的信息系統(tǒng)、資是一種較為全面的風(fēng)險(xiǎn)評(píng)估。評(píng)估內(nèi)容包括對(duì)真實(shí)運(yùn)行的信息系統(tǒng)、資產(chǎn)、威脅、脆弱性等各方面。產(chǎn)、威脅、脆弱性等各方面。 資產(chǎn)評(píng)估：在真實(shí)環(huán)境下較為細(xì)致的評(píng)估。包括實(shí)施階段采購的軟資產(chǎn)評(píng)估：在真實(shí)環(huán)境下較為細(xì)致的評(píng)估。包括實(shí)施階段采購的軟硬件資產(chǎn)、系統(tǒng)運(yùn)行過程中生成的信息資產(chǎn)、相關(guān)的人員與服務(wù)等，本硬件資產(chǎn)、系統(tǒng)運(yùn)行過程中生成的信息資產(chǎn)、相關(guān)的人員與服務(wù)等，本階段資產(chǎn)識(shí)別是前期資產(chǎn)識(shí)別的補(bǔ)充與增加；階段資產(chǎn)識(shí)別是

41、前期資產(chǎn)識(shí)別的補(bǔ)充與增加； 威脅評(píng)估：應(yīng)全面地分析威脅的可能性和影響程度。對(duì)非故意威脅威脅評(píng)估：應(yīng)全面地分析威脅的可能性和影響程度。對(duì)非故意威脅導(dǎo)致安全事件的評(píng)估可以參照安全事件的發(fā)生頻率；對(duì)故意威脅導(dǎo)致安導(dǎo)致安全事件的評(píng)估可以參照安全事件的發(fā)生頻率；對(duì)故意威脅導(dǎo)致安全事件的評(píng)估主要就威脅的各個(gè)影響因素做出專業(yè)判斷；全事件的評(píng)估主要就威脅的各個(gè)影響因素做出專業(yè)判斷； 脆弱性評(píng)估：是全面的脆弱性評(píng)估。包括運(yùn)行環(huán)境中物理、網(wǎng)絡(luò)、脆弱性評(píng)估：是全面的脆弱性評(píng)估。包括運(yùn)行環(huán)境中物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、安全保障設(shè)備、管理等各方面的脆弱性。技術(shù)脆弱性評(píng)估系統(tǒng)、應(yīng)用、安全保障設(shè)備、管理等各方面的脆弱性。技術(shù)

42、脆弱性評(píng)估可以采取核查、掃描、案例驗(yàn)證、滲透性測試的方式實(shí)施；安全保障設(shè)可以采取核查、掃描、案例驗(yàn)證、滲透性測試的方式實(shí)施；安全保障設(shè)備的脆弱性評(píng)估，應(yīng)考慮安全功能的實(shí)現(xiàn)情況和安全保障設(shè)備本身的脆備的脆弱性評(píng)估，應(yīng)考慮安全功能的實(shí)現(xiàn)情況和安全保障設(shè)備本身的脆弱性；管理脆弱性評(píng)估可以采取文檔、記錄核查等方式進(jìn)行驗(yàn)證；弱性；管理脆弱性評(píng)估可以采取文檔、記錄核查等方式進(jìn)行驗(yàn)證； 風(fēng)險(xiǎn)計(jì)算：根據(jù)本標(biāo)準(zhǔn)的相關(guān)方法，對(duì)重要資產(chǎn)的風(fēng)險(xiǎn)進(jìn)行定性或風(fēng)險(xiǎn)計(jì)算：根據(jù)本標(biāo)準(zhǔn)的相關(guān)方法，對(duì)重要資產(chǎn)的風(fēng)險(xiǎn)進(jìn)行定性或定量的風(fēng)險(xiǎn)分析，描述不同資產(chǎn)的風(fēng)險(xiǎn)高低狀況。定量的風(fēng)險(xiǎn)分析，描述不同資產(chǎn)的風(fēng)險(xiǎn)高低狀況。信息安全風(fēng)險(xiǎn)評(píng)估國家標(biāo)準(zhǔn)編制及內(nèi)容介紹56 廢棄階段的風(fēng)險(xiǎn)評(píng)估廢棄階段的風(fēng)險(xiǎn)評(píng)估 當(dāng)信息系統(tǒng)不能滿足現(xiàn)有要求時(shí)，信息系統(tǒng)進(jìn)入廢棄階段。根據(jù)廢當(dāng)信息系統(tǒng)不能滿足現(xiàn)有要求時(shí)，信息系統(tǒng)進(jìn)入廢棄階段。根據(jù)廢棄的程度，又分為部分廢棄和全部廢棄兩種。棄的程度，又分為部分廢棄和全部廢棄兩種。 廢棄階段風(fēng)險(xiǎn)評(píng)估著重在以下幾方面：廢棄階段風(fēng)險(xiǎn)評(píng)估著重在以下幾方面： 1 1、確保硬件和軟件等資產(chǎn)及殘留信息得到了適當(dāng)?shù)奶幹茫⒋_保系、確保硬件和軟件等資產(chǎn)及殘留信息得到了適當(dāng)?shù)奶幹茫⒋_保系 統(tǒng)組件被合理地丟棄或更換；統(tǒng)組件被合理地丟棄或更換； 2 2、如果被廢棄的系統(tǒng)是某個(gè)系統(tǒng)的一部分，或