信息安全技术信息安全风险评估规范.doc

信息安全技术信息安全风险评估规范.doc

ID:51429931

大小:878.00 KB

页数:43页

时间:2020-03-11

信息安全技术信息安全风险评估规范.doc_第1页
信息安全技术信息安全风险评估规范.doc_第2页
信息安全技术信息安全风险评估规范.doc_第3页
信息安全技术信息安全风险评估规范.doc_第4页
信息安全技术信息安全风险评估规范.doc_第5页
资源描述:

《信息安全技术信息安全风险评估规范.doc》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、GB/T××××—××××国家质量监督检验检疫总局发布××××-××-××实施××××-××-××发布信息安全技术信息安全风险评估规范Informationsecuritytechnology-Riskassessmentspecificationforinformationsecurity(报批稿)GB/T××××—××××ICS35.040L80中华人民共和国国家标准GB/T××××—××××目次前言II引言III1范围12规范性引用文件13术语和定义14风险评估框架及流程44.1风险要素关系44.2风险分析原理5

2、4.3实施流程55风险评估实施65.1风险评估准备65.2资产识别85.3威胁识别125.4脆弱性识别145.5已有安全措施确认175.6风险分析175.7风险评估文档记录196信息系统生命周期各阶段的风险评估216.1信息系统生命周期概述216.2规划阶段的风险评估216.3设计阶段的风险评估216.4实施阶段的风险评估226.5运行维护阶段的风险评估236.6废弃阶段的风险评估247风险评估的工作形式247.1概述247.2自评估247.3检查评估25附录A(资料性附录)风险的计算方法27A.1使用矩阵法计算风险2

3、7A.2使用相乘法计算风险32附录B(资料性附录)风险评估的工具36B.1风险评估与管理工具36B.2系统基础平台风险评估工具37B.3风险评估辅助工具38参考文献3939GB/T××××—××××前言本标准附录A和附录B是资料性附录。本标准由国务院信息化工作办公室提出。本标准由全国信息安全标准化技术委员会归口。本标准主要起草单位:国家信息中心、公安部第三研究所、国家保密技术研究所、中国信息安全产品测评认证中心、中国科学院信息安全国家重点实验室、解放军信息技术安全研究中心、中国航天二院七〇六所、北京信息安全测评中心、上

4、海市信息安全测评认证中心。本标准主要起草人:范红、吴亚非、李京春、马朝斌、李嵩、应力、王宁、江常青、张鉴、赵敬宇。39GB/T××××—××××引 言随着政府部门、企事业单位以及各行各业对信息系统依赖程度的日益增强,信息安全问题受到普遍关注。运用风险评估去识别安全风险,解决信息安全问题得到了广泛的认识和应用。信息安全风险评估就是从风险管理角度,运用科学的方法和手段,系统地分析信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施;为防范和化解信息安全风险

5、,将风险控制在可接受的水平,从而最大限度地保障信息安全提供科学依据。信息安全风险评估作为信息安全保障工作的基础性工作和重要环节,要贯穿于信息系统的规划、设计、实施、运行维护以及废弃各个阶段,是信息安全等级保护制度建设的重要科学方法之一。本标准条款中所指的“风险评估”,其含义均为“信息安全风险评估”。39GB/T××××—××××信息安全风险评估规范1 范围本标准提出了风险评估的基本概念、要素关系、分析原理、实施流程和评估方法,以及风险评估在信息系统生命周期不同阶段的实施要点和工作形式。本标准适用于规范组织开展的风险评估

6、工作。2 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注明日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本部分达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。GB/T9361-2000 计算机场地安全要求GB17859-1999计算机信息系统安全保护等级划分准则 GB/T18336-2001信息技术安全技术信息技术安全性评估准则(idtISO/IEC15408:1999)GB/T19716-2005

7、信息技术信息安全管理实用规则(ISO/IEC17799:2000,IDT)3 术语和定义下列术语和定义适用于本标准。3.1资产asset对组织具有价值的信息或资源,是安全策略保护的对象。3.2资产价值assetvalue资产的重要程度或敏感程度的表征。资产价值是资产的属性,也是进行资产识别的主要内容。3.339GB/T××××—××××可用性availability数据或资源的特性,被授权实体按要求能访问和使用数据或资源。3.4 业务战略 businessstrategy组织为实现其发展目标而制定的一组规则或要求。3.

8、5保密性confidentiality数据所具有的特性,即表示数据所达到的未提供或未泄露给非授权的个人、过程或其他实体的程度。3.6 信息安全风险informationsecurityrisk人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。3.7 (信息安全)风险评估(informat

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。