信息安全风险评估国家标准编制及内容介绍 二

信息安全风险评估国家标准编制及内容介绍1主要内容一、标准的编制过程二、标准的主要内容三、下一步工作的几点思考2主要内容一、标准的编制过程二、标准的主要内容三、下一步工作的几点思考3一、标准的编制过程1、前期研究准备2、标准草案编制3、试点实践检验4、专家评审论证4一、标准的编制过程1、前期研究准备2、标准草案编制3、试点实践检验4、专家评审论证5

1、前期研究准备

2003年7月,中办发[2003]27号文件对开展信息安全风险评估工作提出了明确的要求。国信办委托国家信息中心牵头，成立了国家信息安全风险评估课题组，对信息安全风险评估相关工作展开调查研究。课题组利用半年多的时间，对我国信息安全风险评估现状进行了深入调查，掌握了第一手情况；对国内外相关领域的理论进行了学习、分析和研究，查阅了大量的相关资料，基本了解了此领域的国际前沿动态。这些都为标准编制工作奠定了良好的基础。6

统一的风险评估技术标准是规范开展信息安全风险评估工作的必备条件。落实中办发27号文件、全面推进我国的信息安全风险评估工作，首先就必须解决我国缺乏统一的风险评估技术标准的问题。为此，国信办领导根据专家们的建议，决定着手开展信息安全风险评估国家标准的编制工作及相关实践活动。旨在通过这项工作更好地加强国家基础网络和重要信息系统的风险评估及管理工作，使其流程更加科学、统一、规范、有效。7一、标准的编制过程1、前期研究准备2、标准草案编制3、试点实践检验4、专家评审论证8

根据国信办的指示和信安标委的具体要求，国家信息中心组织国家保密技术研究所、公安部三所、北京信息安全测评中心、上海市测评认证中心、信息安全国家重点实验室以及BJCA、上海三零卫士、联想、天融信、启明星辰、绿盟、科飞、凝瑞等国内十几家企事业单位于2004年3月29日正式启动标准草案的编制工作。此后，中国信息安全产品测评认证中心、解放军信息技术安全研究中心、航天部二院七O六所等单位也参与了标准的编制与起草。起草组在前期准备工作的基础上，经过多次研究探讨，确定了编制标准应遵循的原则:

2、标准草案编制9

1、符合我国现行的信息安全有关法律法规的要求，认真贯彻落实27号文件关于加强信息安全风险评估工作的精神；

2、立足于我国信息化建设实践，积极借鉴国际先进标准的技术，提出符合我国基础网络和重要信息系统工程建设需求的风险评估规范；

3、针对网络与信息系统的全生命周期，制订适应不同阶段特点和要求的风险评估实施方法；

4、积极吸收信息安全有关主管部门和单位在等级保护、保密检查和产品测评等工作的经验与成果；

5、标准文本体系结构科学合理，表述清晰，具有可实现性和可操作性。

10在标准准编编制制的的过过程程中中，，标标准准起起草草组组多多次次与与相相关关主主管管部部门门所所属属机机构构的的专专家家代代表表就就技技术术标标准准有有关关主主体体内内容容进进行行会会商商；；向相相关关单单位位发发放放标标准准文文本本，，通过过电电子子邮邮件件等等形形式式广广泛泛征征求求业业界界意意见见；；召召开开标标准准讨讨论论会会议议三三十十几几次次，，共共收收集集100多条条修修改改意意见见。。起草草组组逐逐一一对对修修改改意意见见进进行行研研究究，，在在充充分分吸吸纳纳合合理理成成份份的的基基础础上上，，对对《信息息安安全全风风险险评评估估规规范范》等标标准准进进行行了了较较大大幅幅度度的的修修改改，，使使标标准准的的体体系系结结构构更更趋趋完完善善、、合合理理。。11一、、标标准准的的制制定定过过程程1、前前期期研研究究准准备备2、标准准草草案案编编制制3、试试点点实实践践检检验验4、专专家家评评审审论论证证123、试试点点实实践践检检验验2005年2月,根据据国信信办办[2005]4号和和5号文文件件，，关关于于在在银银行行、、税税务务、、电电力力等等部部门门和和电电子子政政务务外外网网，，以以及及北北京京、、上上海海、、黑黑龙龙江江、、云云南南等等省省市市，，开开展展信信息息安安全全风风险险评评估估试试点点工工作作的的要要求求，，标标准准起起草草组组配配合合风风险险评评估估试试点点工工作作专专家家组组开开展展了了以以下下工工作作：：--为各各试试点点单单位位提提供供标标准准草草案案文文本本和和相相关关说说明明；；--在试试点点准准备备阶阶段段与与各各试试点点单单位位的的技技术术骨骨干干进进行行标标准技技术术交交流流；；--根据据标标准准草草案案文文本本涉涉及及的的关关键键技技术术，，起起草草组组成成员员选择择试试点点环环节节参参与与实实际际试试点点；；--在试试点点过过程程中中，，先先后后几几次次召召开开标标准准研研讨讨会会，，征征求求各单单位位对对标标准准的的意意见见与与建建议议。。13整个试试点点工工作作历历时时7个月月，，各试试点点单单位位对对标标准准草草案案先先后后提提出出40多条条补补充充修修改改意意见见，，标标准准起起草草组组根据试试点结结果先后进进行了了三次次较大大规模模的修修改。。主要要内容容包括括：--细化了了资产产的分分类方方法、、脆弱弱性的的识别别要求求，修修改并细细化了了风险险计算算的方方法；；--对自评评估、、检查查评估估不同同评估估形式式的内内容与与实施施的重点点进行行了区区分；；--对风险险评估估的工工具进进行了了梳理理和区区分，，形成成了现现在的几几种类类型；；--细化了了生命命周期期不同同阶段段风险险评估估的主主要内内容。。试点实实践证证明，，试行行标准准基本本满足足各试试点单单位评评估工工作的的需求求。14一、标标准的的制定定过程程1、前期期研究究准备备2、标准草草案编编制3、试点点实践践检验验4、专家家评审审论证证152005年9月16日，国国家信信息中中心在在北京京组织织召开开了由周周仲义义院士士主持持的《信息安安全风风险评评估指指南（（征求求意见稿））》第一次次专家家评审审会。。4、专家家评审审论证证16第一次次专家家评审审会名名单姓名单位职务/职称周仲义中国工程院院士熊四皓国务院信息办处长王娜国家发改委高科技司处长姚世权中国标准化协会研究员贾颖禾全国信息安全标准化技术委员会副秘书长/研究员崔书昆国家信息化专家咨询委员会委员/研究员景乾元公安部十一局处长李建彬国税总局信息中心副处长张宏伟黑龙江省信息产业厅处长姚丽旋上海市信息化管理委员会处长肖京华总参三部三局处长冯惠中国电子技术标准化研究所副主任/高工吴伟国家电网公司处长詹榜华北京市CA中心总经理172005年10月27日，国国家信信息中中心在在北京京组织织召开开了信信息安安全风风险评评估国国家标标准征征求意意见稿稿的第第二次次专家家评审审会。。18第二次次专家家评审审会名名单姓名单位职务/职称何义大全国信息安全标准化技术委员会副主任赵战生国家信息化咨询委员会研究员曲成义国家信息化咨询委员会研究员冯登国信息安全863项目专家组组长研究员陈晓桦中国信息安全产品测评认证中心研究员崔书昆国家信息化咨询委员会研究员景乾元公安部十一局处长肖京华解放军信息安全测评中心处长贾颖禾全国信息安全标准化技术委员会副秘书长李守鹏中国信息安全产品测评认证中心副主任王同良中石油经济技术中心副主任江志强民航总局人事科技司处长谢小权航天科技集团706所副所长吕仲涛中国工商银行总行信息科技部总工19与会专家家认为为标准准起草草组做做了大大量卓卓有成成效的的工作作，标标准的的结构构合理理、内内容完完备、、可操操作性性强，，并充充分考考虑与与信息息安全全等级级保护护相关关标准准相衔衔接。。文本本的编编制符符合国国家标标准的的要求求。同同时，，专家家们也也对完完善标标准提提出了了进一一步的的修改改意见见。202005年12月14日，由由安标标委第第五工工作组组主持持召开开了由由沈昌昌祥院院士为为专家家组组组长的的信息息安全全风险险评估估国家家标准准送审审稿的的专家家评审审会。。21专家评评审会会名单单姓名单位职务/职称沈昌祥海军计算技术研究所院士吉增瑞公安部信息安全标委会委员研究员赵战生国家信息化咨询委员会研究员卿斯汉中科院信息安全技术工程研究中心研究员杜虹国家保密技术研究所所长景乾元公安部十一局处长崔书昆国家信息化咨询委员会研究员22与会专家家听取取了起起草小小组的的编制制说明明及内内容介介绍，，审阅阅了相相关文文档资资料，，经质质询和和讨论论，一一致认认为：：一、送送审稿稿规范范了风风险评评估的的评估估内容容与范范围、、基本本概念念，明明确了资产产、威威胁、、脆弱弱性和和安全全风险险等关关键要要素及及其赋赋值原原则和和要求，，提出出了实实施流流程与与操作作步骤骤、评评估规规则与与基本本方法法，并并充分考考虑与与信息息安全全等级级保护护相关关标准准相衔衔接。。二、送送审稿稿的操操作性性较强强，对对开展展风险险评估估工作作具有有指导导作用用，并在国国务院院信息息办组组织的的风险险评估估试点点中得得到了了进一一步的的实践践验证和和充实实完善善。三、文文本的的编制制符合合国家家标准准GB1.1的要求求。专家组组认为为送审审稿达达到国国家标标准送送审稿稿的要要求，，同意意通过过评审。建建议起起草组组根据据专家家意见见尽快快修改改完善善后申申报。。232006年３月月６日日和３３月１１６日日，在在国信信办进进行的的行业和和省市市的风风险评评估政政策文文件的的两次次宣贯贯会上上，信信息安安全风险评评估征征求意意见稿稿以国国信办办文件件的形形式下下发，，为各各行业业和省市开开展风风险评评估提提供技技术依依据。。242006年4月18日，全全国信信息安安全标标准化化技术术委员员（安标标委））会第第五工工作组组（WG5）在北北京召召开全全体工工作组组成员员标准投投票会会议，，对信信息安安全风风险评评估国国家标标准送送审稿稿进行行工作组全全体成成员投投票表表决。。与会会的三三十几几位专专家听听取了了标准准起草组对对《指南》的编制制过程程以及及主要要内容容的介介绍，，经投投票一一致通过过了标标准的的评审审。252006年6月19日，全全国信信息安安全标标准化化技术术委员员会秘秘书处处在北北京组组织召召开了了信息息安全全风险险评估估标准准送审审稿的的专家家审查查会，，与会会专家家经质质询和和讨论论，将将标准准正式式命名名为《信息安安全技技术信信息安安全风风险评评估规规范》，认为为该标标准达达到国国家标标准送送审稿稿的要要求，，同意意通过过评审审。会后，，国家家信息息中心心先后后与各各起草草单位位和有有关专专家就就标准准规范范报批批稿的的修改改进行行了进进一步步的研研讨，，并逐逐一落落实了了专家家提出出的意意见。。262006年7月19日，全全国国信息息安全全标准准化委委员会会主任任办公公会上上讨论论通过过了《信息安安全技技术信信息安安全风风险评评估规规范》(报批稿稿),目前已已进入入报批批程序序。27主要内内容一、标标准的的编制制过程程二、标标准的的主要要内容容三、下下一步步工作作的几几点思思考28二、标标准的的主要要内容容1、什么么是风风险评评估2、为什什么要要做风风险评评估3、风险险评估估怎么么做29二、标标准的的主要要内容容1、什么么是风风险评评估2、为什什么要要做风风险评评估3、风险险评估估怎么么做301、什么么是风风险评评估信息安安全风风险人为或或自然然的威威胁利利用信信息系系统及及其管管理体体系中中存在在的脆脆弱性性导致致安全全事件件的发发生及及其对对组织织造成成的影影响。。信息安全风风险评估依据有关信信息安全技技术与管理理标准，对对信息系统统及由其处处理、传输输和存储的的信息的保保密性、完完整性和可可用性等安安全属性进进行评价的的过程。它它要评估资资产面临的的威胁以及及威胁利用用脆弱性导导致安全事事件的可能能性，并结结合安全事事件所涉及及的资产价价值来判断断安全事件件一旦发生生对组织造造成的影响响。31风险评估要要素关系图图图中方框部部分的内容容为风险评评估的基本本要素;椭圆部分的的内容是与与这些要素素相关的属属性。风险评估围围绕着基本本要素展开开，同时需需要充分考考虑与基本本要素相关关的各类属属性。（1）业务战略略的实现对对资产具有有依赖性，，依赖程度度越高，要要求其风险险越小；（2）资产是有有价值的，，组织的业业务战略对对资产的依依赖程度越越高，资产产价值就越越大；（3）风险是由由威胁引发发的，资产产面临的威威胁越多则则风险越大大，并可能能演变成安安全事件；；（4）资产的脆脆弱性可以以暴露资产产的价值，，资产具有有的弱点越越多则风险险越大；（5）脆弱性是是未被满足足的安全需需求，威胁胁利用脆弱弱性危害资资产；（6）风险的存存在及对风风险的认识识导出安全全需求；（7）安全需求可可通过安全措措施得以满足足，需要结合合资产价值考考虑实施成本本；（8）安全措施可可抵御威胁，，降低风险；；（9）残余风险是是未被安全措措施控制的风风险。有些是是安全措施不不当或无效,需要加强才可可控制的风险险；而有些则则是在综合考考虑了安全成成本与效益后后未去控制的的风险；（10）残余风险应应受到密切监监视，它可能能会在将来诱诱发新的安全全事件。32二、标准的主主要内容1、什么是风险险评估2、为什么要做做风险评估3、风险评估怎怎么做332、为什么要做做风险评估安全源于风险。在信息化建设设中，建设与与运营的网络络与信息系统统由于可能存存在的系统设设计缺陷、隐隐含于软硬件件设备的缺陷陷、系统集成成时带来的缺缺陷，以及可可能存在的某某些管理薄弱弱环节，尤其其当网络与信信息系统中拥拥有极为重要要的信息资产产时，都将使使得面临复杂杂环境的网络络与信息系统统潜在着若干干不同程度的的安全风险。。34风险评估可以不不断深入地发发现系统建设设中的安全隐隐患，采取或完善更更加经济有效效的安全保障障措施，来消除安全建设设中的盲目乐乐观或盲目恐恐惧，提出有有针对性的从从实际出发的的解决方法，，提高系统安安全的科学管管理水平，进进而全面提升升网络与信息息系统的安全全保障能力。。35信息安全风险评评估，是从风风险管理角度度，运用科学学的方法和手手段，系统地地分析网络与与信息系统所所面临的威胁胁及其存在的的脆弱性，评评估安全事件件一旦发生可可能造成的危危害程度，提提出有针对性性的抵御威胁胁的防护对策策和整改措施施。并为防范范和化解信息息安全风险，，或者将风险险控制在可接接受的水平，，从而最大限限度地保障网网络和信息安安全提供科学学依据。（国信办[2006]5号文件）36二、标准的主主要内容1、什么是风险险评估2、为什么要做做风险评估3、风险评估怎怎么做373、风险评估怎怎么做-风险评估实施施流程-风险评估的形形式-信息系统生命命周期各阶段段的风险评估估383、风险评估怎怎么做-风险评估实施施流程-风险评估的形形式-信息系统生命命周期各阶段段的风险评估估39风险评估的实实施流程先期准备要素分析风险分析文档记录风险评估实施施流程图40实施步骤(1)风险评估的准准备(2)资产识别(3)威胁识别(4)脆弱性识别(5)已有安全措施施的确认(6)风险分析(7)风险评估文件件记录413、风险评估怎怎么做-风险评估实施施流程-风险评估的形形式-信息系统生命命周期各阶段段的风险评估估42信息安全风险评评估分为自评评估、检查评评估两种形式式。自评估为为主，自评估估和检查评估估相互结合、、互为补充。。自评估和检检查评估可依依托自身技术术力量进行，，也可委托第第三方机构提提供技术支持持。风险评估的形形式43自评估自评估可由发起起方实施或委委托风险评估估服务技术支支持方实施。。由发起方实实施的评估可可以降低实施施的费用、提提高信息系统统相关人员的的安全意识，，但可能由于于缺乏风险评评估的专业技技能，其结果果不够深入准准确；同时，，受到组织内内部各种因素素的影响，其其评估结果的的客观性易受受影响。委托托风险评估服服务技术支持持方实施的评评估，过程比比较规范、评评估结果的客客观性比较好好，可信程度度较高；但由由于受到行业业知识技能及及业务了解的的限制，对被被评估系统的的了解，尤其其是在业务方方面的特殊要要求存在一定定的局限。但但由于引入第第三方本身就就是一个风险险因素，因此此，对其背景景与资质、评评估过程与结结果的保密要要求等方面应应进行控制。。44自评估中的““自”不仅仅仅是指自已做做评估的“自自”，也不仅仅仅是指自愿愿做评估的““自”。由于于“谁主管谁谁负责”，出出于对自身信信息系统的安安全责任考虑虑，信息系统统主管者应定定期对系统进进行风险评估估，具体实施施时可以依托托自身的评估估队伍进行，，也可委托有有资质的第三三方提供评估估服务技术支支持，但无论论是哪一种形形式，责任都都是由信息系系统主管者自自已担负的。。因此，自评评估中的“自自”的含义是是自已负责的的“自”。包包括自已负责责系统的安全全、自己发起起对信息系统统的风险评估估以及自己负负责为保障系系统安全所做做的风险评估估的安全等。。45此外，为保证证风险评估的的实施，与系系统相连的相相关方也应配配合，以防止止给其他方的的使用带来困困难或引入新新的风险也往往往较多，因因此，要对实实施检查评估估机构的资质质进行严格管管理。46检查评估检查评估是指信信息系统上级级管理部门组组织的或国家家有关职能部部门依法开展展的风险评估估。检查评估可依依据本标准的的要求，实施施完整的风险险评估过程。。47一是风险评估估究其根本是是评估系统的的敏感信息，，涉及大量的的安全问题，，完全委托第第三方将带来来评估本身的的风险；二是进行风险险评估要求评评估人员既要要了解评估本本身的一套方方法与流程，，还要了解被被评估系统的的业务特性，，这对于完全全从事评估的的第三方来讲讲，在短时间间内了解每个个系统的业务务特性难度是是比较大的；；三是风险评估估工作流程中中常常要求被被评估方向评评估方提供各各种信息，需需要之间的良良好互动以及及多方会商，，单靠评估方方第三方是无无法完成系统统评估的。基于以上原因因，委托评估估技术支持比比委托评估的的提法更为切切合实际。并并且，提供委委托评估技术术支持的机构构应具有相应应的资质。483、风险评估怎怎么做-风险评估实施施流程-风险评估的形形式-信息系统生命命周期各阶段段的风险评估估49国信办[2006]5号文件指出：：信息安全风险评估应贯贯穿于网络与与信息系统建建设运行的全全过程。在网网络与信息系系统的设计、、验收及运行行维护阶段均均应当进行信信息安全风险险评估。如在在网络与信息息系统规划设设计阶段，应应通过信息安安全风险评估估进一步明确确安全需求和和安全目标。。50信息系系统生生命周周期各各阶段段的风风险评评估规划阶阶段的的风险险评估估设计阶阶段的的风险险评估估实施阶阶段的的风险险评估估运行维维护阶阶段的的风险险评估估废弃阶阶段的的风险险评估估51规划阶阶段的的风险险评估估规划阶段段风险险评估估的目目的是是识别别系统统的业业务战战略，，以支支撑系系统安安全需需求及及安全全战略略等。。规划划阶段段的评评估应应能够够描述述信息息系统统建成成后对对现有有业务务模式式的作作用，，包括括技术术、管管理等等方面面，并并根据据其作作用确确定系系统建建设应应达到到的安安全目目标。。52设计阶阶段的的风险险评估估设计阶段段的风风险评评估需需要根根据规规划阶阶段所所明确确的系系统运运行环环境、、资产产重要要性，，提出出安全全功能能需求求。设设计阶阶段的的风险险评估估结果果应对对设计计方案案中所所提供供的安安全功功能符符合性性进行行判断断，作作为采采购过过程风风险控控制的的依据据。53实施阶阶段的的风险险评估估实施阶段段风险险评估估的目目的是是根据据系统统安全全需求求和运运行环环境对对系统统开发发、实实施过过程进进行风风险识识别，，并对对系统统建成成后的的安全全功能能进行行验证证。根根据设设计阶阶段分分析的的威胁胁和制制定的的安全全措施施，在在实施施及验验收时时进行行质量量控制制。基于设设计阶阶段的的资产产列表表、安安全措措施，，实施施阶段段应对对规划划阶段段的安安全威威胁进进行进进一步步细分分，同同时评评估安安全措措施的的实现现程度度，从从而确确定安安全措措施能能否抵抵御现现有威威胁、、脆弱弱性的的影响响。实实施阶阶段风风险评评估主主要对对系统统的开开发与与技术术/产品品获获取取、、系系统统交交付付实实施施两两个个过过程程进进行行评评估估。。54运行行维维护护阶阶段段的的风风险险评评估估运行行维维护护阶阶段段风风险险评评估估的的目目的的是是了了解解和和控控制制运运行行过过程程中中的的安安全全风风险险，，是是一一种种较较为为全全面面的的风风险险评评估估。。评评估估内内容容包包括括对对真真实实运运行行的的信信息息系系统统、、资资产产、、威威胁胁、、脆脆弱弱性性等等各各方方面面。。资产产评评估估：：在在真真实实环环境境下下较较为为细细致致的的评评估估。。包包括括实实施施阶阶段段采采购购的的软软硬硬件件资资产产、、系系统统运运行行过过程程中中生生成成的的信信息息资资产产、、相相关关的的人人员员与与服服务务等等，，本本阶阶段段资资产产识识别别是是前前期期资资产产识识别别的的补补充充与与增增加加；；威胁胁评评估估：：应应全全面面地地分分析析威威胁胁的的可可能能性性和和影影响响程程度度。。对对非非故故意意威威胁胁导导致致安安全全事事件件的的评评估估可可以以参参照照安安全全事事件件的的发发生生频频率率；；对对故故意意威威胁胁导导致致安安全全事事件件的的评评估估主主要要就就威威胁胁的的各各个个影影响响因因素素做做出出专专业业判判断断；；脆弱弱性性评评估估：：是是全全面面的的脆脆弱弱性性评评估估。。包包括括运运行行环环境境中中物物理理、、网网络络、、系系统统、、应应用用、、安安全全保保障障设设备备、、管管理理等等各各方方面面的的脆脆弱弱性性。。技技术术脆脆弱弱性性评评估估可可以以采采取取核核查查、、扫扫描描、、案案例例验验证证、、渗渗透透性性测测试试的的方方式式实实施施；；安安全全保保障障设设备备的的脆脆弱弱性性评评估估，，应应考考虑虑安安全全功功能能的的实实现现情情况况和和安安全全保保障障设设备备本本身身的的脆脆弱弱性性；；管管理理脆脆弱弱性性评评估估可可以以采采取取文文档档、、记记录录核核查查等等方方式式进进行行验验证证；；风险险计计算算：：根根据据本本标标准准的的相相关关方方法法，，对对重重要要资资产产的的风风险险进进行行定定性性或或定定量量的的风风险险分分析析，，描描述述不不同同资资产产的的风风险险高高低低状状况况。。55废弃弃阶阶段段的的风风险险评评估估当信信息息系系统统不不能能满满足足现现有有要要求求时时，，信信息息系系统统进进入入废废弃弃阶阶段段。。根根据据废废弃弃的的程程度度，，又又分分为为部部分分废废弃弃和和全全部部废废弃弃两两种种。。废弃弃阶阶段段风风险险评评估估着着重重在在以以下下几几方方面面：：1、确确保保硬硬件件和和软软件件等等资资产产及及残残留留信信息息得得到到了了适适当当的的处处置置，，并并确确保保系系统组组件件被被合合理理地地丢丢弃弃或或更更换换；；2、如如果果被被废废弃弃的的系系统统是是某某个个系系统统的的一一部部分分，，或或与与其其他他系系统统存存在在物物理理或逻逻辑辑上上的的连连接接，，还还应应考考虑虑系系统统废废弃弃后后与与其其他他系系统统的的连连接接是是否否被被关闭闭；；3、如如果果在在系系统统变变更更中中废废弃弃，，除除对对废废弃弃部部分分外外，，还还应应对对变变更更的的部部分分进进行评评估估，，以以确确定