信息安全风险评估国家标准编制及内容介绍

国家标准信息安全风险评估规范

中华人民共和国国家标准 ICS 35.040 L 80GB/T 20984—2007信息安全技术信息安全风险评估规范Information security technology —Risk assessment specification for information security2007-06-14发布 2007-11-01实施GB/T 20984—2007目次前言 (II)引言 (III)1范围 (1)2规范性引用文件 (1)3术语和定义 (1)4风险评估框架及流程 (3)4.1风险要素关系 (3)4.2风险分析原理 (4)4.3实施流程 (4)5风险评估实施 (5)5.1风险评估准备 (5)5.2资产识别 (7)5.3威胁识别 (9)5.4脆弱性识别 (11)5.5已有安全措施确认 (12)5.6风险分析 (12)5.7风险评估文档记录 (14)6信息系统生命周期各阶段的风险评估 (15)6.1信息系统生命周期概述 (15)6.2规划阶段的风险评估 (15)6.3设计阶段的风险评估 (15)6.4实施阶段的风险评估 (16)6.5运行维护阶段的风险评估 (16)6.6废弃阶段的风险评估 (17)7风险评估的工作形式 (17)7.1概述 (17)7.2自评估 (17)7.3检查评估 (17)附录A （资料性附录）风险的计算方法 (19)A.1 使用矩阵法计算风险 (19)A.2 使用相乘法计算风险 (22)附录B （资料性附录）风险评估的工具 (26)B.1 风险评估与管理工具 (26)B.2 系统基础平台风险评估工具 (27)B.3 风险评估辅助工具 (27)参考文献 (28)IGB/T 20984—2007前言（略）IIGB/T 20984—2007引言随着政府部门、金融机构、企事业单位、商业组织等对信息系统依赖程度的日益增强，信息安全问题受到普遍关注。

运用风险评估去识别安全风险，解决信息安全问题得到了广泛的认识和应用。

信息安全技术数据出境安全评价指引-编制说明-全国信息安全

《信息安全技术数据出境安全评估指南》编制说明一、任务来源《信息安全技术数据出境安全评估指南》是国家标准化管理委员会批准的信息安全国家标准制定项目，国标计划号为XXX。

本标准为自主制定标准，牵头单位为上海华东电信研究院，参与标准申请单位有工业和信息化部电信研究院、公安部第一研究所、阿里巴巴（北京）软件服务有限公司、北京大学互联网发展研究中心、中国电子技术标准化研究院、中国电子信息产业发展研究院、国家信息技术安全研究中心、深圳市腾讯计算机系统有限公司、阿里云计算有限公司、蚂蚁金服、国信优易数据有限公司等11家单位，归口单位为全国信息安全标准化技术委员会（简称信安标委）。

二、项目的目的与意义数据出境安全评估指南是针对网络运营者开展个人信息和重要数据出境安全自评估，以及国家网信部门、行业主管部门组织开展的个人信息和重要数据出境安全评估的规范指引，指南旨在提供个人信息和重要数据出境的安全评估的流程、要点和方法，指导网络运营者开展数据出境安全评估工作，为国家相关政策法律的落地实施奠定基础，有助于促进数据出境安全评估有序开展，维护国家安全、经济发展，保障社会公共利益、个人隐私安全。

数据出境安全评估指南可以帮助数据出境各方参与主体：●明确数据出境安全评估管理流程●建立数据出境安全风险评估模型●衡量数据出境活动风险程度●判定网络运营者是否可以开展数据出境活动三、主要工作过程《数据出境安全评估指南》国家标准制定项目：（一）立项准备阶段1、2017年1月19日，标准牵头单位组织召开第一次研讨会，明确标准基本定位，研讨完善标准框架；2、2017年2月21日，标准牵头单位组织召开第二次研讨会，明确标准主要研究内容及要求；3、2017年3月，标准牵头单位组织召开第三次研讨会，进一步明确企业需求，深入了解典型企业数据出境场景；4、2017年4月，立项在大数据安全特别工作组获得通过；（二）编制起草阶段1、2017年5月10日，标准编制组召开第一次封闭研讨会，并对标准草案进行修改完善；2、2017年5月25日、26日，标准编制组召开第二次封闭研讨会，并对标准草案进行修改完善；3、2017年6月19日、20日，标准编制组召开第三次封闭研讨会，并对标准草案进行修改完善；4、2017年6月27日，召开专家评审会，收集到对标准草案的修改完善的意见；5、2017年6月28日，召开大数据安全特别工作组会议，同意根据会议意见，对标准文稿修改后，作为征求意见稿提交；6、2017年7月3日、4日，标准编制组召开第四次封闭研讨会，并对标准草案进行修改完善，形成了《信息安全技术数据出境安全评估指南》的征求意见稿。

《信息系统安全集成服务资质认证评价要求》编制说明

《信息系统安全集成服务资质认证评价要求》编制说明一、工作简况《信息系统安全集成服务资质认证评价要求》行业标准制定项目是中国认证认可行业标准化技术委员会2013年度的标准制修订项目。

该项目由中国信息安全认证中心承担。

截止到2011年底，国内外尚未形成安全集成服务相关标准。

ISO/IEC 21827:2008 ISO/IEC 21827:2008《Information technology —Security techniques —Systems Security Engineering —Capability Maturity Model® (SSE-CMM®)》与国家标准GB/T 20261-2006《信息技术系统安全工程能力成熟度模型》是针对信息安全工程的，其中安全工程过程包括了风险评估、安全工程与安全保证三个方面内容，以及安全工程的能力成熟度模型，未涉及认证评价的内容，所以该标准不能完全满足信息安全服务资质认证工作的需要。

鉴于现状，我们征集了信息安全业界专家的意见，专家一致提议安全集成服务资质认证标准可参考ISO/IEC 21827:2008中的安全工程与安全保证部分的内容。

结合我中心已开展的信息安全风险评估与应急处理服务资质认证的标准，将安全集成服务资质分为三级，其中一级最高，三级最低，最终制定一套符合我国信息安全服务现状的认证实施规则，依据该规则指导安全集成服务资质认证工作。

为了规范信息系统安全集成（以下简称安全集成）服务市场，提升安全集成服务质量，我中心于2012年初，依据ISCCC-SV-003《信息系统安全集成服务资质认证实施规则》开展了安全集成服务资质认证业务。

该实施规则得到了申请方的一致认可。

该项标准是在中国信息安全认证中心ISCCC-SV-003《信息系统安全集成服务资质认证实施规则》的基础上，经编写小组多次讨论和征求意见后制定，形成了目前的标准草案稿。

国家标准信息安全技术ICT供应链安全风险管理指引草案编制

国家标准《信息安全技术ICT供应链安全风险管理指南》（草案）编制说明一、工作简况1.1任务来源本项目为2012年的标准编制项目，名为“信息安全技术 ICT供应链安全风险管理指南”（以下简称《供应链指南》），计划号为20120528-T-469。

该标准规定了ICT供应链安全风险管理的过程和控制措施。

本项目由中国电子技术标准化研究院负责具体实施，参与起草单位包括中国科学院软件研究所、华为技术有限公司、联想（北京）有限公司、浙江蚂蚁小微金融服务集团股份有限公司、阿里巴巴（北京）软件服务有限公司、北京京东叁佰陆拾度电子商务有限公司、中国信息通信研究院、浪潮电子信息产业股份有限公司、微软（中国）有限公司、国家信息技术安全研究中心、英特尔（中国）有限公司、阿里云计算有限公司、中国信息安全认证中心、清华同方计算机有限公司、中国科学院信息工程研究所信息安全国家重点实验室。

1.2主要工作过程1. 2012年3月，成立标准编制组考虑到信息通信技术产品和服务的产业现状，标准编制组广泛吸收了国内的研究机构、第三方测评机构、信息通信技术企业参与到标准研制工作，同时按照相关程序，接受了部分国外企业作为观察成员，参与标准研制过程。

2. 2012年4月至2013年6月，调研国内外供应链安全标准现状研究现有国内外供应链安全相关标准，分析各自特点，学习借鉴，主要包括：1）《供应链风险管理指南》（GB/T 24420）2）《信息技术安全技术信息安全风险管理》（GB/T 31722，即ISO/IEC 27005）3）《信息安全技术信息安全风险管理指南》（GB/Z 24364）4）《信息安全技术信息安全风险评估规范》（GB/T 20984）5）《信息安全技术信息安全风险评估实施指南》（GB/T 31509）6）《信息技术安全技术信息安全管理实用规则》（GB/T 22081，即ISO/IEC27002）7）《信息安全技术云计算服务安全能力要求》（GB/T 31168）8）《信息安全技术信息系统安全等级保护基本要求》（GB/T 22239）9）《信息安全技术政府部门信息安全管理基本要求》（GB/T 29245）10）《信息安全技术信息技术产品供应方行为安全准则》（GB/T 32921）11）《Information technology - Security techniques - Code of practice for Information security controls》(ISO/IEC 27002) 12）《Information technology - Security techniques - Information security for supplier relationships》（ISO/IEC 27036）13）《Systems and software engineering - Systems and software assurance》（ISO/IEC 15026）14）《Information Technology - Open Trusted Technology Provider TM Standard(O-TTPS) - Mitigating maliciously tainted and counterfeit products》（ISO/IEC 22043）15）《Supply Chain Risk Management Practices for Federal Information Systems and Organizations》（NIST SP 800-161）16）《Security and Privacy Controls for Federal Information Systems and Organizations》（NIST SP 800-53）3. 2013年7-9月，调研国内信息通信技术产品和服务供应链安全需求与产业现状2013年7-9月，与国内外信息通信技术产品和服务厂商、第三方测评机构等代表进行研讨，并到个别厂商和政府机构实地调研情况，了解信息通信技术产品和服务供应链的管理现状与安全需求。

信息安全风险评估试点工作面面观：信息安全风险评估国家标准简述

囝２６ｇ；Leabharlann ０２ｊ０￣１维普资讯
信息网络安全
安全服务
弱性引发的安全事件，并由于受损信息资产的重要性而对
机构造成的影响。
（）险评估准备１风
风险评估的准备是整个风险评估过程有效性的保证。组织实施风险评估是一种战略性的考虑，其结果将受到组
几个月来试点单位积累了哪些经验又发现了哪些不足200516日作为一次研讨性质的总结会中国信息安全风险评估现状与展望高峰论坛在京举行与会的专家学者国家基础信息网络和重要信息系统风险评估试点单位的负责人纷纷表示开展信息安全风险评估工作是社会发展和科技进步的必然要求它将为推动我国信息安全保障工作的全面开展进而为保障我国信息化建设的顺利实施产生深远的影响但风险评估作为一种新的理念还需要人们去认同作为一种方法论还需要人们去研究和把握作为一种管理措施还需要主管部门大力推进
试点单位的负责人纷纷表示，开展信息安全风险评估工作是社会发展和科技进步的必然要求，它将为推动我国信息安全保障工作的全面开展，进而为保障我国信息化建设的顺利实施产生深远的影响，但风险评估作为一种新的理念还需
（）产识别２资在一个组织中，资产有多种表现形式，同样的两个资产也因属于不同的信息系统而重要性不同，而且对于提供多种业务的组织，支持业务持续运行的系统数量可能更多。其这时首先需要将信息系统及相关的资产进行恰当的分类，以此为基础进行下一步的风险评估。实际工作中，在具体的资产分类方法可以根据具体的评估对象和要求，由评估者灵活把握。对资产的赋值不仅要考虑资产的经济价值，更重要的是要考虑资产的安全状况对于系统或组织的重要性，由资产在其三个安全属性上的达成程度决定。为确保资产赋值时的一致性和准确性，组织应建立资产价值的评价尺度，以指导资产赋值。资产赋值的过程也就是对资产在机密性、完整性和可用性上的达成程度进行分析，并在此基础上得出综合结果的过程。成程度可由安全属性缺失时造成的影响来表示，达这种影响可能造成某些资产的损害以至危及信息系统，还可能导致经济效益、市场份额、组织形象的损失。资产价值应依据资产在机密性、完整性和可用性上的赋值等级，过综合评定得出。经综合评定方法可以根据自身的特点，选择对资产机密性、整性和可用性最为重要的一完个属性的赋值等级作为资产的最终赋值结果，也可以根据资产机密性、完整性和可用性的不同等级对其赋值进行加权计算得到资产的最终赋值结果。加权方法可根据组织的业务特点确定。

国家信息安全标准

国家信息安全标准
国家信息安全标准是一个非常重要的行业规范和实践参考标准，它是信息安全专家智慧的结晶和安全最佳实践的概括总结。

这些标准是信息安全建设的理论基础和行动指南，由国家标准化管理委员会发布。

国家信息安全标准主要包括信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性等方面的内容。

随着互联网的发展，传统的网络边界不复存在，给未来的互联网应用和业务带来巨大改变，也给信息安全带来了新挑战。

此外，信息安全标准也是一个重要的管理工具，它可以帮助组织机构建立有效的信息安全管理体系，并确保信息资产的安全。

这些标准包括信息安全方针、策略、组织结构、风险管理、法律法规等方面的内容。

总之，国家信息安全标准是一个非常重要的行业规范和实践参考标准，它可以帮助组织机构建立有效的信息安全管理体系，确保信息资产的安全，促进组织机构的发展和业务连续性。

信息安全风险评估规范

信息安全风险评估规范信息安全是当今社会中不可或缺的组成部分，而信息安全风险评估则是确保信息安全的重要环节。

本文将介绍信息安全风险评估的规范，以确保评估的准确性和有效性。

一、背景介绍随着信息技术的快速发展和广泛应用，信息安全问题日益凸显。

为了保护信息系统、网络和数据的完整性、可用性和保密性，信息安全风险评估应运而生。

信息安全风险评估是一种全面、系统评估信息系统及其相关成果的安全风险程度的方法。

二、目的和原则信息安全风险评估的主要目的是帮助组织识别、量化和处理信息安全风险，为信息安全管理和决策提供科学依据。

在进行信息安全风险评估时，应遵循以下原则：1. 全面性原则：评估应考虑所有信息系统组成部分的风险。

2. 可行性原则：评估应基于可行的数据和信息。

3. 风险导向原则：评估应该关注重要风险和脆弱性。

4. 及时性原则：评估应随着信息系统的变化和演化进行更新。

5. 可重复性原则：评估应基于可重复的过程和方法。

三、评估过程信息安全风险评估通常包括以下步骤：1. 确定评估范围：明确评估的目标、范围和评估对象，包括信息系统、网络、数据等。

2. 收集信息：通过调查、采访和检查等方式收集与评估对象相关的信息。

3. 风险识别：通过对系统进行分析和检测，识别潜在风险和脆弱性。

4. 风险分析：评估识别到的风险的潜在影响和可能性。

5. 风险评估：根据风险分析的结果，评估风险的严重性和紧急性。

6. 风险处理：针对评估结果制定风险处理策略和措施。

7. 监控和审计：对已实施的风险处理措施进行监控和审计，并进行反馈和改进。

四、输出结果信息安全风险评估的最终输出应包括以下内容：1. 评估报告：详细阐述评估所得到的风险信息、分析结果和评估结论。

2. 风险等级：对评估结果进行分级，确定不同风险的优先级。

3. 处理建议：根据评估结果提出相应的风险处理措施和建议。

4. 监控计划：制定监控风险处理措施的计划，并明确监控指标和频率。

5. 改进措施：根据评估结果总结经验教训，提出改进信息安全的措施。

国家标准《信息安全风险评估实施指南》

国家标准《信息安全风险评估实施指南》（送审稿）编制说明1、工作简况1.1 任务来源2009年12月，信息安全标准化技术委员会正式下达任务书，将《信息安全风险评估实施指南》作为2010年度的国家标准制定项目，定性为国家推荐性标准，由国家信息中心承担，标准制定任务正式启动。

国家信息安全标准化技术委员会已下拨标准研制经费，并签署任务合同书。

1.2 起草单位和人员组成本项目由国家信息中心负责进行标准的起草，北京信息安全测评中心、国家保密技术研究所、上海市信息安全测评认证中心、沈阳东软系统集成工程有限公司、国和信诚（北京）信息安全有限公司等单位参与起草。

1.3 编制过程（1）标准草案编制阶段标准草案编制工作于2010年1月启动，通过前期准备阶段、提纲编制阶段、任务细化阶段、整合完成阶段，在全面了解我国信息安全风险评估实践状况的基础上，经过反复修改完善，于2010年6月形成《信息安全风险评估实施指南》征求意见稿。

（2）意见征求阶段2010年7月-10月，将《信息安全风险评估实施指南》征求意见稿向专家与一些一线信息安全服务机构（公司）征求意见。

根据各试点单位的反馈意见，标准编制小组组织了两次大规模的修改过程；同时向相关单位以发放了标准文本，征求对标准的意见，根据修改意见进行了修改。

（3）修改完善阶段2010年11月、12月，国家信息中心组织编写组成员对征求来的各意见进行讨论、采纳、修改，并于2011年3月正式形成《信息安全风险评估实施指南》标准草案修改稿。

（4）专家评审阶段2011年3月、6月，国家信息中心委托信安标委聘请专家，对《信息安全风险评估实施指南》标准草案修改稿进行专家评审，收到专家意见多条，并通过了专家评审。

（5）WG7成员单位决议阶段2011年8月5日，安标委WG7组组织全体成员单位对国家信息中心承担的《信息安全风险评估实施指南》标准草案稿进行全体投票决议，最后该标准草案稿高票获得通过，获准向社会公布，以进一步广泛征求社会各界的意见与建议。