信息安全风险评估国家标准编制及内容介绍

信息安全风险评估国家标准编制及内容介绍范红二00六年九月1主要内容一、标准的编制过程二、标准的主要内容三、下一步工作的几点思考2主要内容一、标准的编制过程二、标准的主要内容三、下一步工作的几点思考3一、标准的编制过程1、前期研究准备2、标准草案编制3、试点实践检验4、专家评审论证4一、标准的编制过程1、前期研究准备2、标准草案编制3、试点实践检验4、专家评审论证5

1、前期研究准备

2003年7月,中办发[2003]27号文件对开展信息安全风险评估工作提出了明确的要求。国信办委托国家信息中心牵头，成立了国家信息安全风险评估课题组，对信息安全风险评估相关工作展开调查研究。课题组利用半年多的时间，对我国信息安全风险评估现状进行了深入调查，掌握了第一手情况；对国内外相关领域的理论进行了学习、分析和研究，查阅了大量的相关资料，基本了解了此领域的国际前沿动态。这些都为标准编制工作奠定了良好的基础。6

统一的风险评估技术标准是规范开展信息安全风险评估工作的必备条件。落实中办发27号文件、全面推进我国的信息安全风险评估工作，首先就必须解决我国缺乏统一的风险评估技术标准的问题。为此，国信办领导根据专家们的建议，决定着手开展信息安全风险评估国家标准的编制工作及相关实践活动。旨在通过这项工作更好地加强国家基础网络和重要信息系统的风险评估及管理工作，使其流程更加科学、统一、规范、有效。7一、标准的编制过程1、前期研究准备2、标准草案编制3、试点实践检验4、专家评审论证8

根据国信办的指示和信安标委的具体要求，国家信息中心组织国家保密技术研究所、公安部三所、北京信息安全测评中心、上海市测评认证中心、信息安全国家重点实验室以及BJCA、上海三零卫士、联想、天融信、启明星辰、绿盟、科飞、凝瑞等国内十几家企事业单位于2004年3月29日正式启动标准草案的编制工作。此后，中国信息安全产品测评认证中心、解放军信息技术安全研究中心、航天部二院七O六所等单位也参与了标准的编制与起草。起草组在前期准备工作的基础上，经过多次研究探讨，确定了编制标准应遵循的原则:

2、标准草案编制9

1、符合我国现行的信息安全有关法律法规的要求，认真贯彻落实27号文件关于加强信息安全风险评估工作的精神；

2、立足于我国信息化建设实践，积极借鉴国际先进标准的技术，提出符合我国基础网络和重要信息系统工程建设需求的风险评估规范；

3、针对网络与信息系统的全生命周期，制订适应不同阶段特点和要求的风险评估实施方法；

4、积极吸收信息安全有关主管部门和单位在等级保护、保密检查和产品测评等工作的经验与成果；

5、标准文本体系结构科学合理，表述清晰，具有可实现性和可操作性。

10在标准编编制的的过程程中，，标准准起草草组多多次与与相关关主管管部门门所属属机构构的专专家代代表就就技术术标准准有关关主体体内容容进行行会商商；向相关关单位位发放放标准准文本本，通过电电子邮邮件等等形式式广泛泛征求求业界界意见见；召召开标标准讨讨论会会议三三十几几次，，共收收集100多条修修改意意见。。起草组组逐一一对修修改意意见进进行研研究，，在充充分吸吸纳合合理成成份的的基础础上，，对《信息安安全风风险评评估规规范》等标准准进行行了较较大幅幅度的的修改改，使使标准准的体体系结结构更更趋完完善、、合理理。11一、标标准的的制定定过程程1、前期期研究究准备备2、标准草草案编编制3、试点点实践践检验验4、专家家评审审论证证123、试点点实践践检验验2005年2月,根据国信办办[2005]4号和5号文件件，关关于在在银行行、税税务、、电力力等部部门和和电子子政务务外网网，以以及北北京、、上海海、黑黑龙江江、云云南等等省市市，开开展信信息安安全风风险评评估试试点工工作的的要求求，标标准起起草组组配合合风险险评估估试点点工作作专家家组开开展了了以下下工作作：--为各试试点单单位提提供标标准草草案文文本和和相关关说明明；--在试点点准备备阶段段与各各试点点单位位的技技术骨骨干进进行标标准技术术交流流；--根据标标准草草案文文本涉涉及的的关键键技术术，起起草组组成员员选择试试点环环节参参与实实际试试点；；--在试点点过程程中，，先后后几次次召开开标准准研讨讨会，，征求求各单位位对标标准的的意见见与建建议。。13整个试点点工作作历时时7个月，，各试点点单位位对标标准草草案先先后提提出40多条补补充修修改意意见，，标准准起草草组根据试试点结结果先后进进行了了三次次较大大规模模的修修改。。主要要内容容包括括：--细化了了资产产的分分类方方法、、脆弱弱性的的识别别要求求，修修改并细细化了了风险险计算算的方方法；；--对自评评估、、检查查评估估不同同评估估形式式的内内容与与实施施的重点点进行行了区区分；；--对风险险评估估的工工具进进行了了梳理理和区区分，，形成成了现现在的几几种类类型；；--细化了了生命命周期期不同同阶段段风险险评估估的主主要内内容。。试点实实践证证明，，试行行标准准基本本满足足各试试点单单位评评估工工作的的需求求。14一、标标准的的制定定过程程1、前期期研究究准备备2、标准草草案编编制3、试点点实践践检验验4、专家家评审审论证证152005年9月16日，国家家信息中中心在北北京组织织召开了由周仲仲义院士士主持的的《信息安全全风险评评估指南南（征求求意见稿）》第一次专专家评审审会。4、专家评评审论证证16第一次专专家评审审会名单单姓名单位职务/职称周仲义中国工程院院士熊四皓国务院信息办处长王娜国家发改委高科技司处长姚世权中国标准化协会研究员贾颖禾全国信息安全标准化技术委员会副秘书长/研究员崔书昆国家信息化专家咨询委员会委员/研究员景乾元公安部十一局处长李建彬国税总局信息中心副处长张宏伟黑龙江省信息产业厅处长姚丽旋上海市信息化管理委员会处长肖京华总参三部三局处长冯惠中国电子技术标准化研究所副主任/高工吴伟国家电网公司处长詹榜华北京市CA中心总经理172005年10月27日，国家家信息中中心在北北京组织织召开了了信息安安全风险险评估国国家标准准征求意意见稿的的第二次次专家评评审会。。18第二次专专家评审审会名单单姓名单位职务/职称何义大全国信息安全标准化技术委员会副主任赵战生国家信息化咨询委员会研究员曲成义国家信息化咨询委员会研究员冯登国信息安全863项目专家组组长研究员陈晓桦中国信息安全产品测评认证中心研究员崔书昆国家信息化咨询委员会研究员景乾元公安部十一局处长肖京华解放军信息安全测评中心处长贾颖禾全国信息安全标准化技术委员会副秘书长李守鹏中国信息安全产品测评认证中心副主任王同良中石油经济技术中心副主任江志强民航总局人事科技司处长谢小权航天科技集团706所副所长吕仲涛中国工商银行总行信息科技部总工19与会专家认认为标准准起草组组做了大大量卓有有成效的的工作，，标准的的结构合合理、内内容完备备、可操操作性强强，并充充分考虑虑与信息息安全等等级保护护相关标标准相衔衔接。文文本的编编制符合合国家标标准的要要求。同同时，专专家们也也对完善善标准提提出了进进一步的的修改意意见。202005年12月14日，由安安标委第第五工作作组主持持召开了了由沈昌昌祥院士士为专家家组组长长的信息息安全风风险评估估国家标标准送审审稿的专专家评审审会。21专家评审审会名单单姓名单位职务/职称沈昌祥海军计算技术研究所院士吉增瑞公安部信息安全标委会委员研究员赵战生国家信息化咨询委员会研究员卿斯汉中科院信息安全技术工程研究中心研究员杜虹国家保密技术研究所所长景乾元公安部十一局处长崔书昆国家信息化咨询委员会研究员22与会专家听听取了起起草小组组的编制制说明及及内容介介绍，审审阅了相相关文档档资料，，经质询询和讨论论，一致致认为：：一、送审审稿规范范了风险险评估的的评估内内容与范范围、基基本概念念，明确确了资产、、威胁、、脆弱性性和安全全风险等等关键要要素及其其赋值原原则和要求，提提出了实实施流程程与操作作步骤、、评估规规则与基基本方法法，并充分考虑虑与信息息安全等等级保护护相关标标准相衔衔接。二、送审审稿的操操作性较较强，对对开展风风险评估估工作具具有指导导作用，，并在国务务院信息息办组织织的风险险评估试试点中得得到了进进一步的的实践验证和充充实完善善。三、文本本的编制制符合国国家标准准GB1.1的要求。。专家组认认为送审审稿达到到国家标标准送审审稿的要要求，同同意通过过评审。建议议起草组组根据专专家意见见尽快修修改完善善后申报报。232006年３月６６日和３３月１６６日，在在国信办办进行的的行业和省省市的风风险评估估政策文文件的两两次宣贯贯会上，，信息安安全风险评估估征求意意见稿以以国信办办文件的的形式下下发，为为各行业业和省市开展风风险评估提提供技术依依据。242006年4月18日，全国信信息安全标标准化技术术委员（安标委））会第五工工作组（WG5）在北京召召开全体工工作组成员员标准投票会会议，对信信息安全风风险评估国国家标准送送审稿进行行工作组全体成成员投票表表决。与会会的三十几几位专家听听取了标准准起草组对《指南》的编制过程程以及主要要内容的介介绍，经投投票一致通过了标标准的评审审。252006年6月19日，全国信信息安全标标准化技术术委员会秘秘书处在北北京组织召召开了信息息安全风险险评估标准准送审稿的的专家审查查会，与会会专家经质质询和讨论论，将标准准正式命名名为《信息安全技技术信信息安安全风险评评估规范》，认为该标标准达到国国家标准送送审稿的要要求，同意意通过评审审。会后，国家家信息中心心先后与各各起草单位位和有关专专家就标准准规范报批批稿的修改改进行了进进一步的研研讨，并逐逐一落实了了专家提出出的意见。。262006年7月19日，全国国信息安全全标准化委委员会主任任办公会上上讨论通过过了《信息安全技技术信信息安全风风险评估规规范》(报批稿),目前已进入入报批程序序。27主要内容一、标准的的编制过程程二、标准的的主要内容容三、下一步步工作的几几点思考28二、标准的的主要内容容1、什么是风风险评估2、为什么要要做风险评评估3、风险评估估怎么做29二、标准的的主要内容容1、什么是风风险评估2、为什么要要做风险评评估3、风险评估估怎么做301、什么是风风险评估信息安全风风险人为或自然然的威胁利利用信息系系统及其管管理体系中中存在的脆脆弱性导致致安全事件件的发生及及其对组织织造成的影影响。信息安全风风险评估依据有关信信息安全技技术与管理理标准，对对信息系统统及由其处处理、传输输和存储的的信息的保保密性、完完整性和可可用性等安安全属性进进行评价的的过程。它它要评估资资产面临的的威胁以及及威胁利用用脆弱性导导致安全事事件的可能能性，并结结合安全事事件所涉及及的资产价价值来判断断安全事件件一旦发生生对组织造造成的影响响。31风险评估要要素关系图图图中方框部部分的内容容为风险评评估的基本本要素;椭圆部分的的内容是与与这些要素素相关的属属性。风险评估围围绕着基本本要素展开开，同时需需要充分考考虑与基本本要素相关关的各类属属性。（1）业务战略略的实现对对资产具有有依赖性，，依赖程度度越高，要要求其风险险越小；（2）资产是有有价值的，，组织的业业务战略对对资产的依依赖程度越越高，资产产价值就越越大；（3）风险是由由威胁引发发的，资产产面临的威威胁越多则则风险越大大，并可能能演变成安安全事件；；（4）资产的脆脆弱性可以以暴露资产产的价值，，资产具有有的弱点越越多则风险险越大；（5）脆弱性是是未被满足足的安全需需求，威胁胁利用脆弱弱性危害资资产；（6）风险的存存在及对风风险的认识识导出安全全需求；（7）安全需求求可通过安安全措施得得以满足，，需要结合合资产价值值考虑实施施成本；（8）安全措施施可抵御威威胁，降低低风险；（9）残余风险险是未被安安全措施控控制的风险险。有些是是安全措施施不当或无无效,需要加强才才可控制的的风险；而而有些则是是在综合考考虑了安全全成本与效效益后未去去控制的风风险；（10）残余风险险应受到密密切监视，，它可能会会在将来诱诱发新的安安全事件。。32二、标准的的主要内容容1、什么是风风险评估2、为什么要要做风险评评估3、风险评估估怎么做332、为什么要要做风险评评估安全源于风险险。在信息化建建设中，建建设与运营营的网络与与信息系统统由于可能能存在的系系统设计缺缺陷、隐含含于软硬件件设备的缺缺陷、系统统集成时带带来的缺陷陷，以及可可能存在的的某些管理理薄弱环节节，尤其当当网络与信信息系统中中拥有极为为重要的信信息资产时时，都将使使得面临复复杂环境的的网络与信信息系统潜潜在着若干干不同程度度的安全风风险。34风险评估可可以不断断深入地地发现系系统建设设中的安安全隐患患，采取或完完善更加加经济有有效的安安全保障障措施，，来消除安全全建设中中的盲目目乐观或或盲目恐恐惧，提提出有针针对性的的从实际际出发的的解决方方法，提提高系统统安全的的科学管管理水平平，进而而全面提提升网络络与信息息系统的的安全保保障能力力。35信息安全风风险评估估，是从从风险管管理角度度，运用用科学的的方法和和手段，，系统地地分析网网络与信信息系统统所面临临的威胁胁及其存存在的脆脆弱性，，评估安安全事件件一旦发发生可能能造成的的危害程程度，提提出有针针对性的的抵御威威胁的防防护对策策和整改改措施。。并为防防范和化化解信息息安全风风险，或或者将风风险控制制在可接接受的水水平，从从而最大大限度地地保障网网络和信信息安全全提供科科学依据据。（国信办办[2006]5号文件））36二、标准准的主要要内容1、什么是是风险评评估2、为什么么要做风风险评估估3、风险评评估怎么么做373、风险评评估怎么么做-风险评估估实施流流程-风险评估估的形式式-信息系统统生命周周期各阶阶段的风风险评估估383、风险评评估怎么么做-风险评估估实施流流程-风险评估估的形式式-信息系统统生命周周期各阶阶段的风风险评估估39风险评估估的实施施流程先期准备备要素分析析风险分析析文档记录录风险评估估实施流流程图40实施步骤骤(1)风险评估估的准备备(2)资产识别别(3)威胁识别别(4)脆弱性识识别(5)已有安全全措施的的确认(6)风险分析析(7)风险评估估文件记记录413、风险评评估怎么么做-风险评估估实施流流程-风险评估估的形式式-信息系统统生命周周期各阶阶段的风风险评估估42信息安全风风险评估估分为自自评估、、检查评评估两种种形式。。自评估估为主，，自评估估和检查查评估相相互结合合、互为为补充。。自评估估和检查查评估可可依托自自身技术术力量进进行，也也可委托托第三方方机构提提供技术术支持。。风险评估估的形式式43自评估自评估可由由发起方方实施或或委托风风险评估估服务技技术支持持方实施施。由发发起方实实施的评评估可以以降低实实施的费费用、提提高信息息系统相相关人员员的安全全意识，，但可能能由于缺缺乏风险险评估的的专业技技能，其其结果不不够深入入准确；；同时，，受到组组织内部部各种因因素的影影响，其其评估结结果的客客观性易易受影响响。委托托风险评评估服务务技术支支持方实实施的评评估，过过程比较较规范、、评估结结果的客客观性比比较好，，可信程程度较高高；但由由于受到到行业知知识技能能及业务务了解的的限制，，对被评评估系统统的了解解，尤其其是在业业务方面面的特殊殊要求存存在一定定的局限限。但由由于引入入第三方方本身就就是一个个风险因因素，因因此，对对其背景景与资质质、评估估过程与与结果的的保密要要求等方方面应进进行控制制。44自评估估中的的“自自”不不仅仅仅是指指自已已做评评估的的“自自”，，也不不仅仅仅是指指自愿愿做评评估的的“自自”。。由于于“谁谁主管管谁负负责””，出出于对对自身身信息息系统统的安安全责责任考考虑，，信息息系统统主管管者应应定期期对系系统进进行风风险评评估，，具体体实施施时可可以依依托自自身的的评估估队伍伍进行行，也也可委委托有有资质质的第第三方方提供供评估估服务务技术术支持持，但但无论论是哪哪一种种形式式，责责任都都是由由信息息系统统主管管者自自已担担负的的。因因此，，自评评估中中的““自””的含含义是是自已已负责责的““自””。包包括自自已负负责系系统的的安全全、自自己发发起对对信息息系统统的风风险评评估以以及自自己负负责为为保障障系统统安全全所做做的风风险评评估的的安全全等。。45此外，，为保保证风风险评评估的的实施施，与与系统统相连连的相相关方方也应应配合合，以以防止止给其其他方方的使使用带带来困困难或或引入入新的的风险险也往往往较较多，，因此此，要要对实实施检检查评评估机机构的的资质质进行行严格格管理理。46检查评评估检查评估估是指指信息息系统统上级级管理理部门门组织织的或或国家家有关关职能能部门门依法法开展展的风风险评评估。。检查评评估可可依据据本标标准的的要求求，实实施完完整的的风险险评估估过程程。47一是风风险评评估究究其根根本是是评估估系统统的敏敏感信信息，，涉及及大量量的安安全问问题，，完全全委托托第三三方将将带来来评估估本身身的风风险；；二是进进行风风险评评估要要求评评估人人员既既要了了解评评估本本身的的一套套方法法与流流程，，还要要了解解被评评估系系统的的业务务特性性，这这对于于完全全从事事评估估的第第三方方来讲讲，在在短时时间内内了解解每个个系统统的业业务特特性难难度是是比较较大的的；三是风风险评评估工工作流流程中中常常常要求求被评评估方方向评评估方方提供供各种种信息息，需需要之之间的的良好好互动动以及及多方方会商商，单单靠评评估方方第三三方是是无法法完成成系统统评估估的。。基于以以上原原因，，委托托评估估技术术支持持比委委托评评估的的提法法更为为切合合实际际。并并且，，提供供委托托评估估技术术支持持的机机构应应具有有相应应的资资质。。483、风险险评估估怎么么做-风险评评估实实施流流程-风险评评估的的形式式-信息系系统生生命周周期各各阶段段的风风险评评估49国信办[2006]5号文件件指出出：信息安安全风险评评估应应贯穿穿于网网络与与信息息系统统建设设运行行的全全过程程。在在网络络与信信息系系统的的设计计、验验收及及运行行维护护阶段段均应应当进进行信信息安安全风风险评评估。。如在在网络络与信信息系系统规规划设设计阶阶段，，应通通过信信息安安全风风险评评估进进一步步明确确安全全需求求和安安全目目标。。50信息系系统生生命周周期各各阶段段的风风险评评估规划阶阶段的的风险险评估估设计阶阶段的的风险险评估估实施阶阶段的的风险险评估估运行维护护阶段的的风险评评估废弃阶段段的风险险评估51规划阶段段的风险险评估规划阶段风风险评估估的目的的是识别别系统的的业务战战略，以以支撑系系统安全全需求及及安全战战略等。。规划阶阶段的评评估应能能够描述述信息系系统建成成后对现现有业务务模式的的作用，，包括技技术、管管理等方方面，并并根据其其作用确确定系统统建设应应达到的的安全目目标。52设计阶段段的风险险评估设计阶段的的风险评评估需要要根据规规划阶段段所明确确的系统统运行环环境、资资产重要要性，提提出安全全功能需需求。设设计阶段段的风险险评估结结果应对对设计方方案中所所提供的的安全功功能符合合性进行行判断，，作为采采购过程程风险控控制的依依据。53实施阶段段的风险险评估实施阶段风风险评估估的目的的是根据据系统安安全需求求和运行行环境对对系统开开发、实实施过程程进行风风险识别别，并对对系统建建成后的的安全功功能进行行验证。。根据设设计阶段段分析的的威胁和和制定的的安全措措施，在在实施及及验收时时进行质质量控制制。基于设计阶段段的资产列表表、安全措施施，实施阶段段应对规划阶阶段的安全威威胁进行进一一步细分，同同时评估安全全措施的实现现程度，从而而确定安全措措施能否抵御御现有威胁、、脆弱性的影影响。实施阶阶段风险评估估主要对系统统的开发与技技术/产品获取、系系统交付实施施两个过程进进行评估。54运行维护阶段段的风险评估估运行维护阶段段风险评估的的目的是了解解和控制运行行过程中的安安全风险，是是一种较为全全面的风险评评估。评估内内容包括对真真实运行的信信息系统、资资产、威胁、、脆弱性等各各方面。资产评估：在在真实环境下下较为细致的的评估。包括括实施阶段采采购的软硬件件资产、系统统运行过程中中生成的信息息资产、相关关的人员与服服务等，本阶阶段资产识别别是前期资产产识别的补充充与增加；威胁评估：应应全面地分析析威胁的可能能性和影响程程度。对非故故意威胁导致致安全事件的的评估可以参参照安全事件件的发生频率率；对故意威威胁导致安全全事件的评估估主要就威胁胁的各个影响响因素做出专专业判断；脆弱性评估：：是全面的脆脆弱性评估。。包括运行环环境中物理、、网络、系统统、应用、安安全保障设备备、管理等各各方面的脆弱弱性。技术脆脆弱性评估可可以采取核查查、扫描、案案例验证、渗渗透性测试的的方式实施；；安全保障设设备的脆弱性性评估，应考考虑安全功能能的实现情况况和安全保障障设备本身的的脆弱性；管管理脆弱性评评估可以采取取文档、记录录核查等方式式进行验证；；风险计算：根根据本标准的的相关方法，，对重要资产产的风险进行行定性或定量量的风险分析析，描述不同同资产的风险险高低状况。。55废