国家标准《信息安全风险评估实施指南》_第1页
国家标准《信息安全风险评估实施指南》_第2页
国家标准《信息安全风险评估实施指南》_第3页
全文预览已结束

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

国家标准《信息安全风险评估实施指南》(送审稿)编制说明1、工作简况1.1任务来源2009年12月,信息安全标准化技术委员会正式下达任务书,将《信息安全风险评估实施指南》作为2010年度的国家标准制定项目,定性为国家推荐性标准,由国家信息中心承担,标准制定任务正式启动。国家信息安全标准化技术委员会已下拨标准研制经费,并签署任务合同书。1.2起草单位和人员组成本项目由国家信息中心负责进行标准的起草,北京信息安全测评中心、国家保密技术研究所、上海市信息安全测评认证中心、沈阳东软系统集成工程有限公司、国和信诚(北京)信息安全有限公司等单位参与起草。1.3编制过程(1)标准草案编制阶段标准草案编制工作于2010年1月启动,通过前期准备阶段、提纲编制阶段、任务细化阶段、整合完成阶段,在全面了解我国信息安全风险评估实践状况的基础上,经过反复修改完善,于2010年6月形成《信息安全风险评估实施指南》征求意见稿。(2)意见征求阶段2010年7月-10月,将《信息安全风险评估实施指南》征求意见稿向专家与一些一线信息安全服务机构(公司)征求意见。根据各试点单位的反馈意见,标准编制小组组织了两次大规模的修改过程;同时向相关单位以发放了标准文本,征求对标准的意见,根据修改意见进行了修改。(3)修改完善阶段2010年11月、12月,国家信息中心组织编写组成员对征求来的各意见进行讨论、采纳、修改,并于2011年3月正式形成《信息安全风险评估实施指南》标准草案修改稿。(4)专家评审阶段2011年3月、6月,国家信息中心委托信安标委聘请专家,对《信息安全风险评估实施指南》标准草案修改稿进行专家评审,收到专家意见多条,并通过了专家评审。(5)WG7成员单位决议阶段2011年8月5日,安标委WG7组组织全体成员单位对国家信息中心承担的《信息安全风险评估实施指南》标准草案稿进行全体投票决议,最后该标准草案稿高票获得通过,获准向社会公布,以进一步广泛征求社会各界的意见与建议。截止2011年8月,编写组共收到修改意见90多条,其中采纳的接近70条,对于未采纳的意见,标准编制小组在意见处理表中给予了明确说明。(6)部门征求意见阶段2011年9月至10月,安标委秘书处就本标准征求意见稿在各相关主管部门范围内征求意见。共收到来自公安部、国家密码局和国家保密局的6条意见。标准编制组对收集到的意见进行了汇总处理,修改完善后形成标准送审稿。2、编制原则和主要内容2.1编制原则1)立足于我国当前信息化建设现状,对我国信息安全风险评估方法进行总结、归纳、简化与提升,注重吸纳国外相关领域的先进成果并为我所用,使其本土化。2)风险评估实施指南是对GB/T20984-2007《信息技术信息安全风险评估规范》标准的细化,具体对各阶段的评估工作进行细化。3)可操作性和实用性。标准是对实际工作的总结与提升,但最终还要用于实践,要经得起实践的检验。因此要可用,可操作。4)注重吸收主管部门在评估方面已有的经验与成果。如等级保护、安全检查和产品测评等。5)科学性与前瞻性。评估标准中要体现科学性。所提供的方法要可信,要具有引领的作用。2.2主要内容本课题主要集中研究风险评估实施过程中的若干关键技术与方法,研究内容主要有:1)课题定位关系研究确定本课题与GB/T20984-2007《信息技术信息安全风险评估规范》关系,结合国家信息中心正在编写的《信息安全风险管理规范》标准草案,确定本课题在风险管理体系上的定位,确定此课题的研究重点方向。2)信息系统风险评估实施的参考标准研究该工作主要分析、研究、归纳适合我国风险评估实施工作中需要参考、借鉴的国内外标准。主要包括:《信息安全风险管理规范》草案、NISTSP800-26《SecuritySelf-AssessmentGuideforInformationTechnologySystems》、NISTSP800-30《RiskManagementGuideforInformationTechnologySystems》、NISTSP800-53《RecommendedSecurityControlsforFederalInformationSystems》标准等。3)信息系统风险评估实施的流程研究该工作主要依据风险评估国家标准中提出的四个实施阶段进行具体工作研究,结合评估试点工作和行业案例的实践情况,提出适合国内各行业进行实际评估操作的工作流程细则,包括:各个阶段工作的具体内容、具体工作方法、实施技术、操作工具、实施案例等。4)信息系统风险评估实施的安全技术研究该工作主要对评估实施工作中用到的安全分析(资产、威胁、脆弱性等)、检测技术进行研究,通过参考、借鉴国内外相关实际工作情况,落实评估工作中可使用技术、工具,规范评估各阶段文件内容,以及评估报告内容。5)信息系统风险评估实施的安全管理研究该工作主要对评估实施工作中用到的安全管理技术进行研究,通过参考、借鉴国内外相关安全管理标准,形成我国各行业单位进行实际评估工作的安全管理要求。6)信息系统风险评估实施中的质量管理研究该工作主要对评估实施过程中的项目管理工作进行质量监督、管理方面的研究,通过参考、借鉴项目管理与质量管理的各种技术方法,形成适合我国各行业单位进行风险评估工作的质量管理规范。3.主要试验或验证的分析、综述报告,预期的经济效果本课题较好的完成了项目任务书中的各项研究任务,基本形成了一套逻辑严谨、技术先进、方法科学、具有普遍实施指导意义的信息系统风险评估技术方法。该方法通过多家信息安全服务机构、信息安全服务公司等单位的实际应用,结果证明可将本课题的研究成果用于指导用户进行信息安全风险评估工作,并可保证风险评估实施的过程及方法基本满足GB/T20984-2007《信息技术信息安全风险评估规范》的要求,达到了课题研究的目标。本课题成果是在分析研究国内外风险评估相关标准和规范、升华2005年“我国重要信息系统和关键基础设施风险评估试点”经验以及国家信息中心、北京信息安全测评中心等单位多年来从事风险评估和等级测评积累的经验方法基础上取得的,本课题成果操作性强,应用面广。2008-2010年,国家信息中心利用本成果对国家粮食局政府网站、国务院扶贫办政府网站、

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论