信息安全风险评估标准编制与内容介绍

信息安全风险评估国家标准编制及内容介绍1主要内容一、标准的编制过程二、标准的主要内容三、下一步工作的几点思考2主要内容一、标准的编制过程二、标准的主要内容三、下一步工作的几点思考3一、标准的编制过程1、前期研究准备2、标准草案编制3、试点实践检验4、专家评审论证4一、标准的编制过程1、前期研究准备2、标准草案编制3、试点实践检验4、专家评审论证5

1、前期研究准备

2003年7月,中办发[2003]27号文件对开展信息安全风险评估工作提出了明确的要求。国信办委托国家信息中心牵头，成立了国家信息安全风险评估课题组，对信息安全风险评估相关工作展开调查研究。课题组利用半年多的时间，对我国信息安全风险评估现状进行了深入调查，掌握了第一手情况；对国内外相关领域的理论进行了学习、分析和研究，查阅了大量的相关资料，基本了解了此领域的国际前沿动态。这些都为标准编制工作奠定了良好的基础。6

统一的风险评估技术标准是规范开展信息安全风险评估工作的必备条件。落实中办发27号文件、全面推进我国的信息安全风险评估工作，首先就必须解决我国缺乏统一的风险评估技术标准的问题。为此，国信办领导根据专家们的建议，决定着手开展信息安全风险评估国家标准的编制工作及相关实践活动。旨在通过这项工作更好地加强国家基础网络和重要信息系统的风险评估及管理工作，使其流程更加科学、统一、规范、有效。7一、标准的编制过程1、前期研究准备2、标准草案编制3、试点实践检验4、专家评审论证8

根据国信办的指示和信安标委的具体要求，国家信息中心组织国家保密技术研究所、公安部三所、北京信息安全测评中心、上海市测评认证中心、信息安全国家重点实验室以及BJCA、上海三零卫士、联想、天融信、启明星辰、绿盟、科飞、凝瑞等国内十几家企事业单位于2004年3月29日正式启动标准草案的编制工作。此后，中国信息安全产品测评认证中心、解放军信息技术安全研究中心、航天部二院七O六所等单位也参与了标准的编制与起草。起草组在前期准备工作的基础上，经过多次研究探讨，确定了编制标准应遵循的原则:

2、标准草案编制9

1、符合我国现行的信息安全有关法律法规的要求，认真贯彻落实27号文件关于加强信息安全风险评估工作的精神；

2、立足于我国信息化建设实践，积极借鉴国际先进标准的技术，提出符合我国基础网络和重要信息系统工程建设需求的风险评估规范；

3、针对网络与信息系统的全生命周期，制订适应不同阶段特点和要求的风险评估实施方法；

4、积极吸收信息安全有关主管部门和单位在等级保护、保密检查和产品测评等工作的经验与成果；

5、标准文本体系结构科学合理，表述清晰，具有可实现性和可操作性。

10在标准编编制的的过程程中，，标准准起草草组多多次与与相关关主管管部门门所属属机构构的专专家代代表就就技术术标准准有关关主体体内容容进行行会商商；向相关关单位位发放放标准准文本本，通过电电子邮邮件等等形式式广泛泛征求求业界界意见见；召召开标标准讨讨论会会议三三十几几次，，共收收集100多条修修改意意见。。起草组组逐一一对修修改意意见进进行研研究，，在充充分吸吸纳合合理成成份的的基础础上，，对《信息安安全风风险评评估规规范》等标准准进行行了较较大幅幅度的的修改改，使使标准准的体体系结结构更更趋完完善、、合理理。11一、标标准的的制定定过程程1、前期期研究究准备备2、标准草草案编编制3、试点点实践践检验验4、专家家评审审论证证123、试点点实践践检验验2005年2月,根据国信办办[2005]4号和5号文件件，关关于在在银行行、税税务、、电力力等部部门和和电子子政务务外网网，以以及北北京、、上海海、黑黑龙江江、云云南等等省市市，开开展信信息安安全风风险评评估试试点工工作的的要求求，标标准起起草组组配合合风险险评估估试点点工作作专家家组开开展了了以下下工作作：--为各试试点单单位提提供标标准草草案文文本和和相关关说明明；--在试点点准备备阶段段与各各试点点单位位的技技术骨骨干进进行标标准技术术交流流；--根据标标准草草案文文本涉涉及的的关键键技术术，起起草组组成员员选择试试点环环节参参与实实际试试点；；--在试点点过程程中，，先后后几次次召开开标准准研讨讨会，，征求求各单位位对标标准的的意见见与建建议。。13整个试点点工作作历时时7个月，，各试点点单位位对标标准草草案先先后提提出40多条补补充修修改意意见，，标准准起草草组根据试试点结结果先后进进行了了三次次较大大规模模的修修改。。主要要内容容包括括：--细化了了资产产的分分类方方法、、脆弱弱性的的识别别要求求，修修改并细细化了了风险险计算算的方方法；；--对自评评估、、检查查评估估不同同评估估形式式的内内容与与实施施的重点点进行行了区区分；；--对风险险评估估的工工具进进行了了梳理理和区区分，，形成成了现现在的几几种类类型；；--细化了了生命命周期期不同同阶段段风险险评估估的主主要内内容。。试点实实践证证明，，试行行标准准基本本满足足各试试点单单位评评估工工作的的需求求。14一、标标准的的制定定过程程1、前期期研究究准备备2、标准草草案编编制3、试点点实践践检验验4、专家家评审审论证证152005年9月16日，国国家信信息中中心在在北京京组织织召开开了由周周仲义义院士士主持持的《信息安安全风风险评评估指指南（（征求求意见稿））》第一次次专家家评审审会。。4、专家家评审审论证证16第一次次专家家评审审会名名单姓名单位职务/职称周仲义中国工程院院士熊四皓国务院信息办处长王娜国家发改委高科技司处长姚世权中国标准化协会研究员贾颖禾全国信息安全标准化技术委员会副秘书长/研究员崔书昆国家信息化专家咨询委员会委员/研究员景乾元公安部十一局处长李建彬国税总局信息中心副处长张宏伟黑龙江省信息产业厅处长姚丽旋上海市信息化管理委员会处长肖京华总参三部三局处长冯惠中国电子技术标准化研究所副主任/高工吴伟国家电网公司处长詹榜华北京市CA中心总经理172005年10月27日，国国家信信息中中心在在北京京组织织召开开了信信息安安全风风险评评估国国家标标准征征求意意见稿稿的第第二次次专家家评审审会。。18第二次次专家家评审审会名名单姓名单位职务/职称何义大全国信息安全标准化技术委员会副主任赵战生国家信息化咨询委员会研究员曲成义国家信息化咨询委员会研究员冯登国信息安全863项目专家组组长研究员陈晓桦中国信息安全产品测评认证中心研究员崔书昆国家信息化咨询委员会研究员景乾元公安部十一局处长肖京华解放军信息安全测评中心处长贾颖禾全国信息安全标准化技术委员会副秘书长李守鹏中国信息安全产品测评认证中心副主任王同良中石油经济技术中心副主任江志强民航总局人事科技司处长谢小权航天科技集团706所副所长吕仲涛中国工商银行总行信息科技部总工19与会专家家认为为标准准起草草组做做了大大量卓卓有成成效的的工作作，标标准的的结构构合理理、内内容完完备、、可操操作性性强，，并充充分考考虑与与信息息安全全等级级保护护相关关标准准相衔衔接。。文本本的编编制符符合国国家标标准的的要求求。同同时，，专家家们也也对完完善标标准提提出了了进一一步的的修改改意见见。202005年12月14日，由由安标标委第第五工工作组组主持持召开开了由由沈昌昌祥院院士为为专家家组组组长的的信息息安全全风险险评估估国家家标准准送审审稿的的专家家评审审会。。21专家评评审会会名单单姓名单位职务/职称沈昌祥海军计算技术研究所院士吉增瑞公安部信息安全标委会委员研究员赵战生国家信息化咨询委员会研究员卿斯汉中科院信息安全技术工程研究中心研究员杜虹国家保密技术研究所所长景乾元公安部十一局处长崔书昆国家信息化咨询委员会研究员22与会专家家听取取了起起草小小组的的编制制说明明及内内容介介绍，，审阅阅了相相关文文档资资料，，经质质询和和讨论论，一一致认认为：：一、送送审稿稿规范范了风风险评评估的的评估估内容容与范范围、、基本本概念念，明明确了资产产、威威胁、、脆弱弱性和和安全全风险险等关关键要要素及及其赋赋值原原则和和要求，，提出出了实实施流流程与与操作作步骤骤、评评估规规则与与基本本方法法，并并充分考考虑与与信息息安全全等级级保护护相关关标准准相衔衔接。。二、送送审稿稿的操操作性性较强强，对对开展展风险险评估估工作作具有有指导导作用用，并在国国务院院信息息办组组织的的风险险评估估试点点中得得到了了进一一步的的实践践验证和和充实实完善善。三、文文本的的编制制符合合国家家标准准GB1.1的要要求求。。专家家组组认认为为送送审审稿稿达达到到国国家家标标准准送送审审稿稿的的要要求求，，同同意意通通过过评评审。。建建议议起起草草组组根根据据专专家家意意见见尽尽快快修修改改完完善善后后申申报报。。232006年３３月月６６日日和和３３月月１１６６日日，，在在国国信信办办进进行行的的行业业和和省省市市的的风风险险评评估估政政策策文文件件的的两两次次宣宣贯贯会会上上，，信信息息安安全全风险险评评估估征征求求意意见见稿稿以以国国信信办办文文件件的的形形式式下下发发，，为为各各行行业业和和省市市开开展展风风险险评评估估提提供供技技术术依依据据。。242006年4月18日，，全全国国信信息息安安全全标标准准化化技技术术委委员员（安安标标委委））会会第第五五工工作作组组（（WG5）在在北北京京召召开开全全体体工工作作组组成成员员标准准投投票票会会议议，，对对信信息息安安全全风风险险评评估估国国家家标标准准送送审审稿稿进进行行工工作组组全全体体成成员员投投票票表表决决。。与与会会的的三三十十几几位位专专家家听听取取了了标标准准起起草组组对对《指南南》的编编制制过过程程以以及及主主要要内内容容的的介介绍绍，，经经投投票票一一致通通过过了了标标准准的的评评审审。。252006年6月19日，，全全国国信信息息安安全全标标准准化化技技术术委委员员会会秘秘书书处处在在北北京京组组织织召召开开了了信信息息安安全全风风险险评评估估标标准准送送审审稿稿的的专专家家审审查查会会，，与与会会专专家家经经质质询询和和讨讨论论，，将将标标准准正正式式命命名名为为《信息安安全技技术信信息安安全风风险评评估规规范》，认为该标标准达到国国家标准送送审稿的要要求，同意意通过评审审。会后，国家家信息中心心先后与各各起草单位位和有关专专家就标准准规范报批批稿的修改改进行了进进一步的研研讨，并逐逐一落实了了专家提出出的意见。。262006年7月19日，全国国信息安全全标准化委委员会主任任办公会上上讨论通过过了《信息安全技技术信信息安全风风险评估规规范》(报批稿),目前已进入入报批程序序。27主要内容一、标准的的编制过程程二、标准的的主要内容容三、下一步步工作的几几点思考28二、标准的的主要内容容1、什么是风风险评估2、为什么要要做风险评评估3、风险评估估怎么做29二、标准的的主要内容容1、什么是风风险评估2、为什么要要做风险评评估3、风险评估估怎么做301、什么是风风险评估信息安全风风险人为或自然然的威胁利利用信息系系统及其管管理体系中中存在的脆脆弱性导致致安全事件件的发生及及其对组织织造成的影影响。信息安全风风险评估依据有关信信息安全技技术与管理理标准，对对信息系统统及由其处处理、传输输和存储的的信息的保保密性、完完整性和可可用性等安安全属性进进行评价的的过程。它它要评估资资产面临的的威胁以及及威胁利用用脆弱性导导致安全事事件的可能能性，并结结合安全事事件所涉及及的资产价价值来判断断安全事件件一旦发生生对组织造造成的影响响。31风险评估要要素关系图图图中方框部部分的内容容为风险评评估的基本本要素;椭圆部分的的内容是与与这些要素素相关的属属性。风险评估围围绕着基本本要素展开开，同时需需要充分考考虑与基本本要素相关关的各类属属性。（1）业务战略略的实现对对资产具有有依赖性，，依赖程度度越高，要要求其风险险越小；（2）资产是有有价值的，，组织的业业务战略对对资产的依依赖程度越越高，资产产价值就越越大；（3）风险是由由威胁引发发的，资产产面临的威威胁越多则则风险越大大，并可能能演变成安安全事件；；（4）资产的脆脆弱性可以以暴露资产产的价值，，资产具有有的弱点越越多则风险险越大；（5）脆弱性是是未被满足足的安全需需求，威胁胁利用脆弱弱性危害资资产；（6）风险的存存在及对风风险的认识识导出安全全需求；（7）安全需求求可通过安安全措施得得以满足，，需要结合合资产价值值考虑实施施成本；（8）安全措施施可抵御威威胁，降低低风险；（9）残余风险险是未被安安全措施控控制的风险险。有些是是安全措施施不当或无无效,需要加强才才可控制的的风险；而而有些则是是在综合考考虑了安全全成本与效效益后未去去控制的风风险；（10）残余风险险应受到密密切监视，，它可能会会在将来诱诱发新的安安全事件。。32二、标准的的主要内容容1、什么是风风险评估2、为什么要要做风险评评估3、风险评估估怎么做332、为什么要要做风险评评估安全源于风险险。在信息化建建设中，建建设与运营营的网络与与信息系统统由于可能能存在的系系统设计缺缺陷、隐含含于软硬件件设备的缺缺陷、系统统集成时带带来的缺陷陷，以及可可能存在的的某些管理理薄弱环节节，尤其当当网络与信信息系统中中拥有极为为重要的信信息资产时时，都将使使得面临复复杂环境的的网络与信信息系统潜潜在着若干干不同程度度的安全风风险。34风险评估可可以不断断深入地地发现系系统建设设中的安安全隐患患，采取或完完善更加加经济有有效的安安全保障障措施，，来消除安全全建设中中的盲目目乐观或或盲目恐恐惧，提提出有针针对性的的从实际际出发的的解决方方法，提提高系统统安全的的科学管管理水平平，进而而全面提提升网络络与信息息系统的的安全保保障能力力。35信息安全风风险评估估，是从从风险管管理角度度，运用用科学的的方法和和手段，，系统地地分析网网络与信信息系统统所面临临的威胁胁及其存存在的脆脆弱性，，评估安安全事件件一旦发发生可能能造成的的危害程程度，提提出有针针对性的的抵御威威胁的防防护对策策和整改改措施。。并为防防范和化化解信息息安全风风险，或或者将风风险控制制在可接接受的水水平，从从而最大大限度地地保障网网络和信信息安全全提供科科学依据据。（国信办办[2006]5号文件））36二、标准准的主要要内容1、什么是是风险评评估2、为什么要做做风险评估3、风险评估怎怎么做373、风险评估怎怎么做-风险评估实施施流程-风险评估的形形式-信息系统生命命周期各阶段段的风险评估估383、风险评估怎怎么做-风险评估实施施流程-风险评估的形形式-信息系统生命命周期各阶段段的风险评估估39风险评估的实实施流程先期准备要素分析风险分析文档记录风险评估实施施流程图40实施步骤(1)风险评估的准准备(2)资产识别(3)威胁识别(4)脆弱性识别(5)已有安全措施施的确认(6)风险分析(7)风险评估文件件记录413、风险评估怎怎么做-风险评估实施施流程-风险评估的形形式-信息系统生命命周期各阶段段的风险评估估42信息安全风险评评估分为自评评估、检查评评估两种形式式。自评估为为主，自评估估和检查评估估相互结合、、互为补充。。自评估和检检查评估可依依托自身技术术力量进行，，也可委托第第三方机构提提供技术支持持。风险评估的形形式43自评估自评估可由发起起方实施或委委托风险评估估服务技术支支持方实施。。由发起方实实施的评估可可以降低实施施的费用、提提高信息系统统相关人员的的安全意识，，但可能由于于缺乏风险评评估的专业技技能，其结果果不够深入准准确；同时，，受到组织内内部各种因素素的影响，其其评估结果的的客观性易受受影响。委托托风险评估服服务技术支持持方实施的评评估，过程比比较规范、评评估结果的客客观性比较好好，可信程度度较高；但由由于受到行业业知识技能及及业务了解的的限制，对被被评估系统的的了解，尤其其是在业务方方面的特殊要要求存在一定定的局限。但但由于引入第第三方本身就就是一个风险险因素，因此此，对其背景景与资质、评评估过程与结结果的保密要要求等方面应应进行控制。。44自评估中的““自”不仅仅仅是指自已做做评估的“自自”，也不仅仅仅是指自愿愿做评估的““自”。由于于“谁主管谁谁负责”，出出于对自身信信息系统的安安全责任考虑虑，信息系统统主管者应定定期对系统进进行风险评估估，具体实施施时可以依托托自身的评估估队伍进行，，也可委托有有资质的第三三方提供评估估服务技术支支持，但无论论是哪一种形形式，责任都都是由信息系系统主管者自自已担负的。。因此，自评评估中的“自自”的含义是是自已负责的的“自”。包包括自已负责责系统的安全全、自己发起起对信息系统统的风险评估估以及自己负负责为保障系系统安全所做做的风险评估估的安全等。。45此外，为保证证风险评估的的实施，与系系统相连的相相关方也应配配合，以防止止给其他方的的使用带来困困难或引入新新的风险也往往往较多，因因此，要对实实施检查评估估机构的资质质进行严格管管理。46检查评估检查评估是指信信息系统上级级管理部门组组织的或国家家有关职能部部门依法开展展的风险评估估。检查评估可依依据本标准的的要求，实施施完整的风险险评估过程。。47一是风风险评评估究究其根根本是是评估估系统统的敏敏感信信息，，涉及及大量量的安安全问问题，，完全全委托托第三三方将将带来来评估估本身身的风风险；；二是是进进行行风风险险评评估估要要求求评评估估人人员员既既要要了了解解评评估估本本身身的的一一套套方方法法与与流流程程，，还还要要了了解解被被评评估估系系统统的的业业务务特特性性，，这这对对于于完完全全从从事事评评估估的的第第三三方方来来讲讲，，在在短短时时间间内内了了解解每每个个系系统统的的业业务务特特性性难难度度是是比比较较大大的的；；三是是风风险险评评估估工工作作流流程程中中常常常常要要求求被被评评估估方方向向评评估估方方提提供供各各种种信信息息，，需需要要之之间间的的良良好好互互动动以以及及多多方方会会商商，，单单靠靠评评估估方方第第三三方方是是无无法法完完成成系系统统评评估估的的。。基于于以以上上原原因因，，委委托托评评估估技技术术支支持持比比委委托托评评估估的的提提法法更更为为切切合合实实际际。。并并且且，，提提供供委委托托评评估估技技术术支支持持的的机机构构应应具具有有相相应应的的资资质质。。483、风风险险评评估估怎怎么么做做-风险险评评估估实实施施流流程程-风险险评评估估的的形形式式-信息息系系统统生生命命周周期期各各阶阶段段的的风风险险评评估估49国信办办[2006]5号文文件件指指出出：：信息息安安全全风险险评评估估应应贯贯穿穿于于网网络络与与信信息息系系统统建建设设运运行行的的全全过过程程。。在在网网络络与与信信息息系系统统的的设设计计、、验验收收及及运运行行维维护护阶阶段段均均应应当当进进行行信信息息安安全全风风险险评评估估。。如如在在网网络络与与信信息息系系统统规规划划设设计计阶阶段段，，应应通通过过信信息息安安全全风风险险评评估估进进一一步步明明确确安安全全需需求求和和安安全全目目标标。。50信息系系统生生命周周期各各阶段段的风风险评评估规划阶阶段的的风险险评估估设计阶阶段的的风险险评估估实施阶阶段的的风险险评估估运行维维护阶阶段的的风险险评估估废弃阶阶段的的风险险评估估51规划阶阶段的的风险险评估估规划阶段段风险险评估估的目目的是是识别别系统统的业业务战战略，，以支支撑系系统安安全需需求及及安全全战略略等。。规划划阶段段的评评估应应能够够描述述信息息系统统建成成后对对现有有业务务模式式的作作用，，包括括技术术、管管理等等方面面，并并根据据其作作用确确定系系统建建设应应达到到的安安全目目标。。52设计阶阶段的的风险险评估估设计阶段段的风风险评评估需需要根根据规规划阶阶段所所明确确的系系统运运行环环境、、资产产重要要性，，提出出安全全功能能需求求。设设计阶阶段的的风险险评估估结果果应对对设计计方案案中所所提供供的安安全功功能符符合性性进行行判断断，作作为采采购过过程风风险控控制的的依据据。53实施阶阶段的的风险险评估估实施阶段段风险险评估估的目目的是是根据据系统统安全全需求求和运运行环环境对对系统统开发发、实实施过过程进进行风风险识识别，，并对对系统统建成成后的的安全全功能能进行行验证证。根根据设设计阶阶段分分析的的威胁胁和制制定的的安全全措施施，在在实施施及验验收时时进行行质量量控制制。基于设设计阶阶段的的资产产列表表、安安全措措施，，实施施阶段段应对对规划划阶段段的安安全威威胁进进行进进一步步细分分，同同时评评估安安全措措施的的实现现程度度，从从而确确定安安全措措施能能否抵抵御现现有威威胁、、脆弱弱性的的影响响。实实施阶阶段风风险评评估主主要对对系统统的开开发与与技术术/产品获获取、、系统统交付付实施施两个个过程程进行行评估估。54运行维维护阶阶段的的风险险评估估运行维维护阶阶段风风险评评估的的目的的是了了解和和控制制运行行过程程中的的安全全风险险，是是一种种较为为全面面的风风险评评估。。评估估内容容包括括对真真实运运行的的信息息系统统、资资产、、威胁胁、脆脆弱性性等各各方面面。资产评评估：：在真真实环环境下下较为为细致致的评评估。。包括括实施施阶段段采购购的软软硬件件资产产、系系统运运行过过程中中生成成的信信息资资产、、相关关的人人员与与服务务等，，本阶阶段资资产识识别是是前期期资产产识别别的补补充与与增加加；威胁评评估：：应全全面地地分析析威胁胁的可可能性性和影影响程程度。。对非非故意意威胁胁导致致安全全事件件的评评估可可以参参照安安全事事件的的发生生频率率；对对故意意威胁胁导致致安全全事件件的评评估主主要就就威胁胁的各各个影影响因因素做做出专专业判判断；；脆弱性评估：：是全面的脆脆弱性评估。。包括运行环环境中物理、、网络、系统统、应用、安安全保障设备备、管理等各各方面的脆弱弱性。技术脆脆弱性评估可