返回
信息安全风险评估标准化工作情况介绍

信息安全风险评估标准化工作情况介绍

ID:43572659

大小:4.47 MB

页数:103页

时间:2019-10-11

信息安全风险评估标准化工作情况介绍_第1页
信息安全风险评估标准化工作情况介绍_第2页
信息安全风险评估标准化工作情况介绍_第3页
信息安全风险评估标准化工作情况介绍_第4页
信息安全风险评估标准化工作情况介绍_第5页
资源描述:

《信息安全风险评估标准化工作情况介绍》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、信息安全风险评估 标准化工作情况介绍国家信息中心 信息安全研究与服务中心 范红昆明2006年3月1前言2003年7月以来,信息安全风险评估国家标准经过前期的调查与研究,开始了编制工作。两年多来,在国信办和有关主管部门具体指导下,在信安标委大力支持下,经过科研单位、企业的专家以及业内人士共同努力,协力工作,目前《信息安全风险评估指南》等标准的编制工作已基本完成。现将有关情况简要汇报如下。2汇报内容一、标准的编制过程二、标准的主要内容三、下一步工作的几点思考3汇报内容一、标准的编制过程二、标准的主要内容三、下一步工作的几点思

2、考4一、标准的编制过程1、前期研究准备2、标准草案编制3、试点实践验证5一、标准的编制过程1、前期研究准备2、标准草案编制3、试点实践验证61、前期研究准备2003年7月,中办发[2003]27号文件对开展信息安全风险评估工作提出了明确的要求。国信办委托国家信息中心牵头,成立了国家信息安全风险评估课题组,对信息安全风险评估相关工作展开调查研究。课题组利用半年多的时间,对我国信息安全风险评估现状进行了深入调查,掌握了第一手情况;对国内外相关领域的理论进行了学习、分析和研究,查阅了大量的相关资料,基本了解了此领域的国际前沿动

3、态。这些都为标准编制工作奠定了良好的基础。7统一的风险评估技术标准是规范开展信息安全风险评估工作的必备条件。落实中办发27号文件、全面推进我国的信息安全风险评估工作,首先就必须解决我国缺乏统一的风险评估技术标准的问题。为此,国信办领导根据专家们的建议,决定着手开展信息安全风险评估国家标准的编制工作及相关实践活动。旨在通过这项工作更好地加强国家基础网络和重要信息系统的风险评估及管理工作,使其流程更加科学、统一、规范、有效。8一、标准的编制过程1、前期研究准备2、标准草案编制3、试点实践验证9根据国信办的指示和信安标委的具体

4、要求,国家信息中心组织北京信息安全测评中心、上海市测评认证中心、国家保密技术研究所、公安部三所以及BJCA、上海三零卫士、联想、天融信、启明星辰、绿盟、科飞、凝瑞等国内十几家企事业单位于2004年3月29日正式启动标准草案的编制工作。起草组在前期准备工作的基础上,经过多次研究探讨,确定了编制标准应遵循的原则:2、标准草案编制101、符合我国现行的信息安全有关法律法规的要求,认真贯彻落实27号文件关于加强信息安全风险评估工作的精神;2、立足于我国信息化建设实践,积极借鉴国际先进标准的技术,提出符合我国基础网络和重要信息系统

5、工程建设需求的风险评估规范;3、针对网络与信息系统的全生命周期,制订适应不同阶段特点和要求的风险评估实施方法;4、积极吸收信息安全有关主管部门和单位在等级保护、保密检查和产品测评等工作的经验与成果;5、标准文本体系结构科学合理,表述清晰,具有可实现性和可操作性。11在标准编制的过程中,标准起草组多次与相关主管部门所属机构的专家代表就技术标准有关主体内容进行会商;向相关单位发放标准文本,通过电子邮件等形式广泛征求业界意见;召开标准讨论会议三十几次,共收集近100条修改意见。起草组逐一对修改意见进行研究,在充分吸纳合理成份的

6、基础上,对《信息安全风险评估指南》等标准进行了较大幅度的修改,使标准的体系结构更趋完善、合理。12一、标准的制定过程1、前期研究准备2、标准草案编制3、试点实践验证133、试点实践验证2005年2月,根据国信办[2005]4号和5号文件,关于在银行、税务、电力等部门和电子政务外网,以及北京、上海、黑龙江、云南等省市,开展信息安全风险评估试点工作的要求,标准起草组配合风险评估试点工作专家组开展了以下工作:--为各试点单位提供标准草案文本和相关说明;--在试点准备阶段与各试点单位的技术骨干进行标准技术交流;--根据标准草案文

7、本涉及的关键技术,起草组成员选择试点环节参与实际试点;--在试点过程中,先后几次召开标准研讨会,征求各单位对标准的意见与建议。14整个试点工作历时7个月,各试点单位对标准草案先后提出40多条补充修改意见,标准起草组根据试点结果先后进行了三次较大规模的修改。主要内容包括:--细化了资产的分类方法、脆弱性的识别要求,修改并细化了风险计算的方法;--对自评估、检查评估不同评估形式的内容与实施的重点进行了区分;--对风险评估的工具进行了梳理和区分,形成了现在的几种类型;--细化了生命周期不同阶段风险评估的主要内容。试点实践证明,

8、试行标准基本满足各试点单位评估工作的需求。152005年9月16日,《信息安全风险评估指南》顺利通过由周仲义院士主持的第一次评审。10月27日第二次专家评审会上,参评专家一致认为指南的操作性较强,对开展风险评估工作具有指导作用,并在国信办组织的风险评估试点中得到了进一步的实践验证和充实完善,达到国家标准送审稿的要求,

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。