《信息安全技術 信息安全風險評估實施指南》編制說明

1、工作簡況

1.1任務來源

2009年12月，信息安全標準化技術委員會正式下達任務書，將《信息安全風險評估實施

指南》作為2010年度的國家標準制定項目，定性為國家推薦性標準，由國家信息中心承擔，

標準制定任務正式啟動。

國家信息安全標準化技術委員會已下?lián)軜藴恃兄平?jīng)費，并簽署任務合同書。

1.2起草單位和人員組成

本項目由國家信息中心負責進行標準的起草，北京信息安全測評中心、國家保密技術研

究所、上海市信息安全測評認證中心、沈陽東軟系統(tǒng)集成工程有限公司、國和信誠（北京）

信息安全有限公司等單位參與起草。

1.3編制過程

（1）標準草案編制階段

標準草案編制工作于2010年1月啟動，通過前期準備階段、提綱編制階段、任務細化階

段、整合完成階段，在全面了解我國信息安全風險評估實踐狀況的基礎上，經(jīng)過反復修改完

善，于2010年6月形成《信息安全風險評估實施指南》征求意見稿。

（2）意見征求階段

2010年7月-10月，將《信息安全風險評估實施指南》征求意見稿向?qū)＜遗c一些一線信息

安全服務機構（公司）征求意見。

根據(jù)各試點單位的反饋意見，標準編制小組組織了兩次大規(guī)模的修改過程；同時向相關

單位以發(fā)放了標準文本，征求對標準的意見，根據(jù)修改意見進行了修改。

（3）修改完善階段

2010年11月、12月，國家信息中心組織編寫組成員對征求來的各意見進行討論、采納、

修改，并于2011年3月正式形成《信息安全風險評估實施指南》標準草案修改稿。

（4）專家評審階段

2011年3月、6月，國家信息中心委托信安標委聘請專家，對《信息安全風險評估實施指

南》標準草案修改稿進行專家評審，收到專家意見多條，并通過了專家評審。

（5）WG7成員單位決議階段

2011年8月5日，安標委WG7組組織全體成員單位對國家信息中心承擔的《信息安全風險

評估實施指南》標準草案稿進行全體投票決議，最后該標準草案稿高票獲得通過，獲準向社

會公布，以進一步廣泛征求社會各界的意見與建議。

截止2011年8月，編寫組共收到修改意見90多條，其中采納的接近70條，對于未采納的

意見，標準編制小組在意見處理表中給予了明確說明。

(6)部門征求意見階段

2011年9月至10月，安標委秘書處就本標準征求意見稿在各相關主管部門范圍內(nèi)征求意

見。共收到來自公安部、國家密碼局和國家保密局的6條意見。標準編制組對收集到的意見

進行了匯總處理，修改完善后形成標準送審稿。

2、編制原則和主要內(nèi)容

2.1編制原則

1)立足于我國當前信息化建設現(xiàn)狀，對我國信息安全風險評估方法進行總結、歸納、簡化

與提升，注重吸納國外相關領域的先進成果并為我所用,使其本土化。

2)風險評估實施指南是對GB/T20984-2007《信息技術信息安全風險評估規(guī)范》標準的

細化，具體對各階段的評估工作進行細化。

3)可操作性和實用性。標準是對實際工作的總結與提升，但最終還要用于實踐，要經(jīng)得起

實踐的檢驗。因此要可用，可操作。

4)注重吸收主管部門在評估方面已有的經(jīng)驗與成果。如等級保護、安全檢查和產(chǎn)品測評等。

5)科學性與前瞻性。評估標準中要體現(xiàn)科學性。所提供的方法要可信，要具有引領的作用。

2.2主要內(nèi)容

本課題主要集中研究風險評估實施過程中的若干關鍵技術與方法，研究內(nèi)容主要有：

1）課題定位關系研究

確定本課題與GB/T20984-2007《信息技術信息安全風險評估規(guī)范》關系,結合國家信

息中心正在編寫的《信息安全風險管理規(guī)范》標準草案，確定本課題在風險管理體系上的定

位，確定此課題的研究重點方向。

2）信息系統(tǒng)風險評估實施的參考標準研究

該工作主要分析、研究、歸納適合我國風險評估實施工作中需要參考、借鑒的國內(nèi)外標

準。主要包括：《信息安全風險管理規(guī)范》草案、NISTSP800-26《SecuritySelf-Assessment

GuideforInformationTechnologySystems》、NISTSP800-30《RiskManagementGuide

forInformationTechnologySystems》、NISTSP800-53《RecommendedSecurityControls

forFederalInformationSystems》標準等。

3）信息系統(tǒng)風險評估實施的流程研究

該工作主要依據(jù)風險評估國家標準中提出的四個實施階段進行具體工作研究，結合評估

試點工作和行業(yè)案例的實踐情況，提出適合國內(nèi)各行業(yè)進行實際評估操作的工作流程細則，

包括：各個階段工作的具體內(nèi)容、具體工作方法、實施技術、操作工具、實施案例等。

4）信息系統(tǒng)風險評估實施的安全技術研究

該工作主要對評估實施工作中用到的安全分析（資產(chǎn)、威脅、脆弱性等）、檢測技術進

行研究，通過參考、借鑒國內(nèi)外相關實際工作情況，落實評估工作中可使用技術、工具，規(guī)

范評估各階段文件內(nèi)容，以及評估報告內(nèi)容。

5）信息系統(tǒng)風險評估實施的安全管理研究

該工作主要對評估實施工作中用到的安全管理技術進行研究，通過參考、借鑒國內(nèi)外相

關安全管理標準，形成我國各行業(yè)單位進行實際評估工作的安全管理要求。

6）信息系統(tǒng)風險評估實施中的質(zhì)量管理研究

該工作主要對評估實施過程中的項目管理工作進行質(zhì)量監(jiān)督、管理方面的研究，通過參

考、借鑒項目管理與質(zhì)量管理的各種技術方法，形成適合我國各行業(yè)單位進行風險評估工作

的質(zhì)量管理規(guī)范。

3．主要試驗或驗證的分析、綜述報告，預期的經(jīng)濟效

果

本課題較好的完成了項目任務書中的各項研究任務，基本形成了一套邏輯嚴謹、技術先

進、方法科學、具有普遍實施指導意義的信息系統(tǒng)風險評估技術方法。該方法通過多家信息

安全服務機構、信息安全服務公司等單位的實際應用，結果證明可將本課題的研究成果用于

指導用戶進行信息安全風險評估工作，并可保證風險評估實施的過程及方法基本滿足GB/T

20984-2007《信息技術信息安全風險評估規(guī)范》的要求，達到了課題研究的目標。

本課題成果是在分析研究國內(nèi)外風險評估相關標準和規(guī)范、升華2005年“我國重要信息

系統(tǒng)和關鍵基礎設施風險評估試點”經(jīng)驗以及國家信息中心、北京信息安全測評中心等單位

多年來從事風險評估和等級測評積累的經(jīng)驗方法基礎上取得的，本課題成果操作性強，應用

面廣。

2008-2010年，國家信息中心利用本成果對國家糧食局政府網(wǎng)站、國務院扶貧辦政府網(wǎng)

站、北京醫(yī)藥集團、國家糧食局政府網(wǎng)站、國務院扶貧辦政府網(wǎng)站、湖南國稅、江蘇國稅、

新疆國稅等12個省級國稅信息系統(tǒng)、遼寧地稅、河北地稅省級地稅信息系統(tǒng)、國家電子政

務外網(wǎng)、山西省電子政務外網(wǎng)等單位的近百個信息系統(tǒng)進行了風險評估，為上述單位的信

息安全保障工作提供了有力支持。

2008-2010年，北京信息安全測評中心利用本成果對北京市科委、北京市規(guī)委、中國人

民銀行清算總中心、北京市地稅局綜合信息系統(tǒng)、北京市市財政局財政信息資源系統(tǒng)、北京

市市級城市管理信息平臺、北京市小客車增長調(diào)控管理信息系統(tǒng)、北京城市公安安全風險評

估與控制信息管理系統(tǒng)等單位的22個信息系統(tǒng)進行了風險評估，12個信息系統(tǒng)進行等級測

評，得到了用戶單位的廣泛認可。

2008—2010年間,沈陽東軟系統(tǒng)集成工程有限公司利用本成果對：上海市共青團委信息

安全評估服務、中國聯(lián)通遼寧省分公司增值業(yè)務網(wǎng)絡安全評估、樂山市商業(yè)銀行重要信息系

統(tǒng)安全評估、中電投寧夏能源鋁業(yè)集團公司網(wǎng)絡安全評估、山東航空股份有限公司信息安全

服務、華僑城信息安全體系梳理建設等項目，同樣得到用戶的廣泛認可。

2007年12月-2010年12月，北京數(shù)字證書認證中心、天融信、上海三零衛(wèi)士信息安全有

限公司、神州泰岳軟件股份有限公司、太極計算機股份有限公司利用本課題成果對北京市20

個重要信息系統(tǒng)進行了檢查評估，取得了很好的效果，對保障這些系統(tǒng)在2008年奧運期間正

常運行發(fā)揮了重要作用。

4．采用國際標準或國外先進標準的目的、意義和一致

性程度，我國標準與被采用標準的主要差異及其原因；以及

與國際、國外同類標準水平的對比情況。

暫無相關內(nèi)容。

5．與我國有關的現(xiàn)行法律、法規(guī)和相關強制性標準的

關系。

遵從GB/T20984-2007《信息安全技術信息安全風險評估規(guī)范》，是對該標準的細化，

并參考了GB/T22239-2008《信息安全技術信息系統(tǒng)安全等級保護基本要求》、

GB/T22240-2008《信息安全技術信息系統(tǒng)安全保護等級定級指南》標準。

6．重大分歧意見的處理經(jīng)過和依據(jù)

參見《信息安全風險評估實施指南專家意見修改明細表》。

7．標準作為強制性標準或推薦性標準、指導性技術文

件的建議及其理由；密級確定的建議及其理由

本指導性技術文件建議作為國家推薦性標準，無密級要求。

8．貫徹標準的要求和措施建議

以規(guī)范化的評估流程、標準的階段性工作內(nèi)容與工作方法指導各類信息安全組織從事信

息安全風險評估工作，科學、客觀的得到組織當前的信息安全風險狀況。

9．其他主要內(nèi)容的解釋和其他需要說明的事項。如系

列標準或劃分部分制定的標準的編號建議，參考文獻目錄等

本標準草案編寫時主要的參考文獻有：

［1］GB/T9361-2000計算機場地安全要求

［2］GB17859-1999計算機信息系統(tǒng)安全保護等級劃分準則

［3］GB/T22239-2008信息安全技術信息系統(tǒng)安全等級保護基本要求

［4］GB/T18336-2008信息技術安全技術信息技術安全性評估準則

［5］GB/T22080-2008信息技術安全技術信息安全管理體系要求

［6］GB/T22081-2008信息技術安全技術信息安全管理實用規(guī)則

［7］NISTSpecialPublication800-26：SecuritySelf-AssessmentGuideforInformation

TechnologySystems

［8］NISTSpecialPublication800-30：RiskManagementGuideforInformationTechnology

Systems

［9］RequirementsandRecommendationsforCVECompatibility，December6,2007

Documentversion:1.1

［10］CWE-2000:ComprehensiveCWEDictionary(1.3)

［11］