信息安全风险评估国家标准编制及内容介绍范红二00六年九月2主要内容一、标准的编制过程二、标准的主要内容三、下一步工作的几点思考3主要内容一、标准的编制过程二、标准的主要内容三、下一步工作的几点思考4一、标准的编制过程1、前期研究准备2、标准草案编制3、试点实践检验4、专家评审论证5一、标准的编制过程1、前期研究准备2、标准草案编制3、试点实践检验4、专家评审论证61、前期研究准备2003年7月,中办发[2003]27号文件对开展信息安全风险评估工作提出了明确的要求。国信办委托国家信息中心牵头,成立了国家信息安全风险评估课题组,对信息安全风险评估相关工作展开调查研究。课题组利用半年多的时间,对我国信息安全风险评估现状进行了深入调查,掌握了第一手情况;对国内外相关领域的理论进行了学习、分析和研究,查阅了大量的相关资料,基本了解了此领域的国际前沿动态。这些都为标准编制工作奠定了良好的基础。7统一的风险评估技术标准是规范开展信息安全风险评估工作的必备条件。落实中办发27号文件、全面推进我国的信息安全风险评估工作,首先就必须解决我国缺乏统一的风险评估技术标准的问题。为此,国信办领导根据专家们的建议,决定着手开展信息安全风险评估国家标准的编制工作及相关实践活动。旨在通过这项工作更好地加强国家基础网络和重要信息系统的风险评估及管理工作,使其流程更加科学、统一、规范、有效。8一、标准的编制过程1、前期研究准备2、标准草案编制3、试点实践检验4、专家评审论证9根据国信办的指示和信安标委的具体要求,国家信息中心组织国家保密技术研究所、公安部三所、北京信息安全测评中心、上海市测评认证中心、信息安全国家重点实验室以及BJCA、上海三零卫士、联想、天融信、启明星辰、绿盟、科飞、凝瑞等国内十几家企事业单位于2004年3月29日正式启动标准草案的编制工作。此后,中国信息安全产品测评认证中心、解放军信息技术安全研究中心、航天部二院七O六所等单位也参与了标准的编制与起草。起草组在前期准备工作的基础上,经过多次研究探讨,确定了编制标准应遵循的原则:2、标准草案编制101、符合我国现行的信息安全有关法律法规的要求,认真贯彻落实27号文件关于加强信息安全风险评估工作的精神;2、立足于我国信息化建设实践,积极借鉴国际先进标准的技术,提出符合我国基础网络和重要信息系统工程建设需求的风险评估规范;3、针对网络与信息系统的全生命周期,制订适应不同阶段特点和要求的风险评估实施方法;4、积极吸收信息安全有关主管部门和单位在等级保护、保密检查和产品测评等工作的经验与成果;5、标准文本体系结构科学合理,表述清晰,具有可实现性和可操作性。11在标准编制的过程中,标准起草组多次与相关主管部门所属机构的专家代表就技术标准有关主体内容进行会商;向相关单位发放标准文本,通过电子邮件等形式广泛征求业界意见;召开标准讨论会议三十几次,共收集100多条修改意见。起草组逐一对修改意见进行研究,在充分吸纳合理成份的基础上,对《信息安全风险评估规范》等标准进行了较大幅度的修改,使标准的体系结构更趋完善、合理。12一、标准的制定过程1、前期研究准备2、标准草案编制3、试点实践检验4、专家评审论证133、试点实践检验2005年2月,根据国信办[2005]4号和5号文件,关于在银行、税务、电力等部门和电子政务外网,以及北京、上海、黑龙江、云南等省市,开展信息安全风险评估试点工作的要求,标准起草组配合风险评估试点工作专家组开展了以下工作:--为各试点单位提供标准草案文本和相关说明;--在试点准备阶段与各试点单位的技术骨干进行标准技术交流;--根据标准草案文本涉及的关键技术,起草组成员选择试点环节参与实际试点;--在试点过程中,先后几次召开标准研讨会,征求各单位对标准的意见与建议。14整个试点工作历时7个月,各试点单位对标准草案先后提出40多条补充修改意见,标准起草组根据试点结果先后进行了三次较大规模的修改。主要内容包括:--细化了资产的分类方法、脆弱性的识别要求,修改并细化了风险计算的方法;--对自评估、检查评估不同评估形式的内容与实施的重点进行了区分;--对风险评估的工具进行了梳理和区分,形成了现在的几种类型;--细化了生命周期不同阶段风险评估的主要内容。试点实践证明,试行标准基本满足各试点单位评估工作的需求。15一、标准的制定过程1、前期研究准备2、标准草案编制3、试点实践检验4、专家评审论证162005年9月16日,国家信息中心在北京组织召开了由周仲义院士主持的《信息安全风险评估指南(征求意见稿)》第一次专家评审会。4、专家评审论证17第一次专家评审会名单姓名单位职务/职称周仲义中国工程院院士熊四皓国务院信息办处长王娜国家发改委高科技司处长姚世权中国标准化协会研究员贾颖禾全国信息安全标准化技术委员会副秘书长/研究员崔书昆国家信息化专家咨询委员会委员/研究员景乾元公安部十一局处长李建彬国税总局信息中心副处长张宏伟黑龙江省信息产业厅处长姚丽旋上海市信息化管理委员会处长肖京华总参三部三局处长冯惠中国电子技术标准化研究所副主任/高工吴伟国家电网公司处长詹榜华北京市CA中心总经理182005年10月27日,国家信息中心在北京组织召开了信息安全风险评估国家标准征求意见稿的第二次专家评审会。19第二次专家评审会名单姓名单位职务/职称何义大全国信息安全标准化技术委员会副主任赵战生国家信息化咨询委员会研究员曲成义国家信息化咨询委员会研究员冯登国信息安全863项目专家组组长研究员陈晓桦中国信息安全产品测评认证中心研究员崔书昆国家信息化咨询委员会研究员景乾元公安部十一局处长肖京华解放军信息安全测评中心处长贾颖禾全国信息安全标准化技术委员会副秘书长李守鹏中国信息安全产品测评认证中心副主任王同良中石油经济技术中心副主任江志强民航总局人事科技司处长谢小权航天科技集团706所副所长吕仲涛中国工商银行总行信息科技部总工20与会专家认为标准起草组做了大量卓有成效的工作,标准的结构合理、内容完备、可操作性强,并充分考虑与信息安全等级保护相关标准相衔接。文本的编制符合国家标准的要求。同时,专家们也对完善标准提出了进一步的修改意见。212005年12月14日,由安标委第五工作组主持召开了由沈昌祥院士为专家组组长的信息安全风险评估国家标准送审稿的专家评审会。22专家评审会名单姓名单位职务/职称沈昌祥海军计算技术研究所院士吉增瑞公安部信息安全标委会委员研究员赵战生国家信息化咨询委员会研究员卿斯汉中科院信息安全技术工程研究中心研究员杜虹国家保密技术研究所所长景乾元公安部十一局处长崔书昆国家信息化咨询委员会研究员23与会专家听取了起草小组的编制说明及内容介绍,审阅了相关文档资料,经质询和讨论,一致认为:一、送审稿规范了风险评估的评估内容与范围、基本概念,明确了资产、威胁、脆弱性和安全风险等关键要素及其赋值原则和要求,提出了实施流程与操作步骤、评估规则与基本方法,并充分考虑与信息安全等级保护相关标准相衔接。二、送审稿的操作性较强,对开展风险评估工作具有指导作用,并在国务院信息办组织的风险评估试点中得到了进一步的实践验证和充实完善。三、文本的编制符合国家标准GB1.1的要求。专家组认为送审稿达到国家标准送审稿的要求,同意通过评审。建议起草组根据专家意见尽快修改完善后申报。242006年3月6日和3月16日,在国信办进行的行业和省市的风险评估政策文件的两次宣贯会上,信息安全风险评估征求意见稿以国信办文件的形式下发,为各行业和省市开展风险评估提供技术依据。252006年4月18日,全国信息安全标准化技术委员(安标委)会第五工作组(WG5)在北京召开全体工作组成员标准投票会议,对信息安全风险评估国家标准送审稿进行工作组全体成员投票表决。与会的三十几位专家听取了标准起草组对《指南》的编制过程以及主要内容的介绍,经投票一致通过了标准的评审。262006年6月19日,全国信息安全标准化技术委员会秘书处在北京组织召开了信息安全风险评估标准送审稿的专家审查会,与会专家经质询和讨论,将标准正式命名为《信息安全技术信息安全风险评估规范》,认为该标准达到国家标准送审稿的要求,同意通过评审。会后,国家信息中心先后与各起草单位和有关专家就标准规范报批稿的修改进行了进一步的研讨,并逐一落实了专家提出的意见。272006年7月19日,全国信息安全标准化委员会主任办公会上讨论通过了《信息安全技术信息安全风险评估规范》(报批稿),目前已进入报批程序。28主要内容一、标准的编制过程二、标准的主要内容三、下一步工作的几点思考29二、标准的主要内容1、什么是风险评估2、为什么要做风险评估3、风险评估怎么做30二、标准的主要内容1、什么是风险评估2、为什么要做风险评估3、风险评估怎么做311、什么是风险评估信息安全风险人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。信息安全风险评估依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。32风险评估要素关系图脆弱性资产价值威胁资产风险安全需求业务战略安全事件残余风险安全措施利用暴露具有成本被满足未控制可能诱发演变增加导出依赖增加降低抵御未被满足图中方框部分的内容为风险评估的基本要素;椭圆部分的内容是与这些要素相关的属性。风险评估围绕着基本要素展开,同时需要充分考虑与基本要素相关的各类属性。(1)业务战略的实现对资产具有依赖性,依赖程度越高,要求其风险越小;(2)资产是有价值的,组织的业务战略对资产的依赖程度越高,资产价值就越大;(3)风险是由威胁引发的,资产面临的威胁越多则风险越大,并可能演变成安全事件;(4)资产的脆弱性可以暴露资产的价值,资产具有的弱点越多则风险越大;(5)脆弱性是未被满足的安全需求,威胁利用脆弱性危害资产;(6)风险的存在及对风险的认识导出安全需求;(7)安全需求可通过安全措施得以满足,需要结合资产价值考虑实施成本;(8)安全措施可抵御威胁,降低风险;(9)残余风险是未被安全措施控制的风险。有些是安全措施不当或无效,需要加强才可控制的风险;而有些则是在综合考虑了安全成本与效益后未去控制的风险;(10)残余风险应受到密切监视,它可能会在将来诱发新的安全事件。33二、标准的主要内容1、什么是风险评估2、为什么要做风险评估3、风险评估怎么做342、为什么要做风险评估安全源于风险。在信息化建设中,建设与运营的网络与信息系统由于可能存在的系统设计缺陷、隐含于软硬件设备的缺陷、系统集成时带来的缺陷,以及可能存在的某些管理薄弱环节,尤其当网络与信息系统中拥有极为重要的信息资产时,都将使得面临复杂环境的网络与信息系统潜在着若干不同程度的安全风险。35风险评估可以不断深入地发现系统建设中的安全隐患,采取或完善更加经济有效的安全保障措施,来消除安全建设中的盲目乐观或盲目恐惧,提出有针对性的从实际出发的解决方法,提高系统安全的科学管理水平,进而全面提升网络与信息系统的安全保障能力。36信息安全风险评估,是从风险管理角度,运用科学的方法和手段,系统地分析网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施。并为防范和化解信息安全风险,或者将风险控制在可接受的水平,从而最大限度地保障网络和信息安全提供科学依据。(国信办[2006]5号文件)37二、标准的主要内容1、什么是风险评估2、为什么要做风险评估3、风险评估怎么做383、风险评估怎么做-风险评估实施流程-风险评估的形式-信息系统生命周期各阶段的风险评估393、风险评估怎么做-风险评估实施流程-风险评估的形式-信息系统生命周期各阶段的风险评估40风险评估的实施流程•先期准备•要素分析•风险分析•文档记录风险评估准备保持已有的安全措施威胁识别已有安全措施的确认风险计算制定和