返回
信息安全风险评估标准及试点工作情况介绍

信息安全风险评估标准及试点工作情况介绍

ID:5404102

大小:597.50 KB

页数:31页

时间:2017-11-10

信息安全风险评估标准及试点工作情况介绍_第1页
信息安全风险评估标准及试点工作情况介绍_第2页
信息安全风险评估标准及试点工作情况介绍_第3页
信息安全风险评估标准及试点工作情况介绍_第4页
信息安全风险评估标准及试点工作情况介绍_第5页
资源描述:

《信息安全风险评估标准及试点工作情况介绍》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、国家信息安全风险评估工作情况介绍报告人:范红二00五年五月2汇报内容一、国家风险评估前期工作概述二、风险评估标准编制情况介绍三、风险评估标准内容简介四、风险评估试点工作情况介绍五、下一步的工作考虑3一、国家风险评估前期工作概述为了贯彻落实中办发2003[27]号文件的精神,国信办委托国家信息中心牵头,会同公安部,保密局,中科院和解放军等部门组织专家成立了风险评估课题组。课题组的宗旨是以信息安全风险为切入点,全面了解我国信息安全建设现状,发现问题并寻找应对措施。课题组在2003年下半年对北京,上海,广州和深圳四个地区的十几个行业的五十多家企事单位进行了广泛的调研与走访,完成了我国信

2、息安全风险评估调查报告,同时,课题组对国内外信息安全风险评估工作进行了系统的理论梳理,所完成的信息安全风险评估研究报告做为2004年1月在北京召开全国第一次信息安全保障大会的传阅文件。在这次大会黄菊同志的讲话中要求大家重视风险评估工作,并将风险评估列为我国信息安全保障体系建设要抓的五项基础性工作之一。4一、国家风险评估前期工作概述为了进一步推动信息安全风险评估工作,在2003年工作基础上,国信办决定2004年继续委托国家信息中心组织信息安全风险评估课题组下一阶段的工作。为了将已有工作做深做实,并为下一步国家出台风险评估指导意见以及进行国家重要信息系统和基础网络的风险评估试点工作做

3、准备,根据国信办领导的指示,课题组在2004年上半年启动了风险评估指南和风险管理指南等标准的编制工作。旨在通过这项工作更好地加强信息安全风险评估及管理,使其流程更加科学、规范和有效,从而促进我国信息安全保障体系的建立,进而推动我国信息化的建设历程。5二、风险评估标准编制情况介绍自任务下达后,国家信息中心组织国内十几家从事过安全风险评估工作的单位开展了信息安全风险评估标准规范的制定工作,对当前大家在评估实践工作默认的共同规范进行归纳、总结、简化与提升。标准编制工作于2004年3月29日正式启动,整个撰写工作分为前期准备阶段、提纲编制阶段、任务细化阶段、整合完成阶段等阶段,历时一年先

4、后完成<<信息安全评估指南>>与<<信息安全管理指南>>的征求意见稿。6标准编制原则(1)立足于我国当前信息化建设现状,对我国信息安全风险评估方法进行总结、归纳、简化与提升,注重吸纳国外相关领域的先进成果并为我所用,使其本土化。(2)可操作性和实用性。标准是对实际工作的总结与提升,但最终还要用于实践,要经得起实践的检验。因此要可用,可操作。(3)注重吸收主管部门在评估方面已有的经验与成果。如等级保护、保密检查和产品测评等。(4)科学性与前瞻性。评估标准中要体现科学性。所提供的方法要可信,要具有引领的作用。7三、风险评估标准内容简介1、评估指南内容简介2、管理指南内容简介8三、风险

5、评估标准内容简介1、评估指南内容简介2、管理指南内容简介91、风险评估指南内容简介<<信息安全风险评估指南>>包括指南文本和附录两部分。其中指南文本由一个前言和8章内容组成,分为以下几部分:1、概述部分;2、模型与流程部分;3、实施部分;4、关联部分。附录部分由二个附录组成。10风险评估的定义信息系统的安全风险,是指由于系统存在的脆弱性,人为或自然的威胁导致安全事件发生所造成的影响。信息安全风险评估,则是指依据国家有关信息安全技术标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程,它要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性

6、被威胁源利用后安全事件发生的可能性,并结合资产的重要程度来识别信息系统的安全风险。11术语及定义资产价值威胁脆弱性风险残余风险风险评估可用性保密性完整性业务战略安全事件安全需求安全措施自评估检查评估12风险评估要素关系模型安全措施抗击业务战略脆弱性安全需求威胁风险残余风险安全事件依赖拥有被满足利用暴露降低增加增加增加导出演变未被满足未控制可能诱发残留成本资产资产价值13风险计算模型资产拥有者威胁来源信息资产威胁弱点安全事件安全风险(风险值)14风险评估实施流程否是否是风险评估的准备已有安全措施的确认风险计算风险是否接受保持已有的控制措施选择适当的控制措施并评估残余风险实施风险管理

7、脆弱性识别威胁识别资产识别是否接受残余风险风险识别评估过程文档评估过程文档风险评估结果记录评估结果文档………………15风险评估的形式及角色运用评估指南根据评估的发起方的不同,将风险评估形式分为自评估和检查评估两大类。自评估是由被评估信息系统的拥有者发起的,并依靠自身的力量,对其自身的信息系统进行的风险评估活动。检查评估则通常是被评估信息系统的拥有者的上级主管机关或业务主管机关发起的,旨在依据已经颁布的法规或标准进行的,具有强制意味的检查活动,是通过行政手段加强信息安全的重要措施。

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。