国家网络与信息安全协调小组“关于开展信息安全风险评估工作的意见”
ISO27001信息安全风险评估指南
信息安全风险评估指南1、本指南在编制过程中主要依据了国家政策法规、技术标准、规范与管理要求、行业标准并得到了无锡新世纪信息科技有限公司的大力支持。
1.1政策法规:✧《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)✧《国家网络与信息安全协调小组关于开展信息安全风险评估工作的意见》(国信办[2006]5号)1.2国际标准:✧ISO/IEC 17799:2005《信息安全管理实施指南》✧ISO/IEC 27001:2005《信息安全管理体系要求》✧ISO/IEC TR 13335《信息技术安全管理指南》1.3国内标准:✧《信息安全风险评估指南》(国信办综[2006]9号)✧《重要信息系统灾难恢复指南》(国务院信息化工作办公室2005年4月)✧GB 17859—1999《计算机信息系统安全保护等级划分准则》✧GB/T 18336 1-3:2001《信息技术安全性评估准则》✧GB/T 5271.8--2001 《信息技术词汇第8部分:安全》✧GB/T 19715.1—2005 《信息技术安全管理指南第1部分:信息技术安全概念和模型》✧GB/T 19716—2005 《信息安全管理实用规则》1.4其它✧《信息安全风险评估方法与应用》(国家863高技术研究发展计划资助项目(2004AA147070))2、风险评估2.1、风险评估要素关系模型风险评估的出发点是对与风险有关的各因素的确认和分析。
下图中方框部分的内容为风险评估的基本要素,椭圆部分的内容是与这些要素相关的属性,也是风险评估要素的一部分。
风险评估的工作是围绕其基本要素展开的,在对这些要素的评估过程中需要充分考虑业务战略、资产价值、安全事件、残余风险等与这些基本要素相关的各类因素。
如下模型表示了各因素的关系:业务战略资产资产价值安全需求残余风险安全事件脆弱性威胁风险安全措施依赖具有导出降低抵御未控制可能诱发演变利用暴露未被满足增加增加图中这些要素之间存在着以下关系:业务战略依赖于资产去完成;资产拥有价值,单位的业务战略越重要,对资产的依赖度越高,资产的价值则就越大;资产的价值越大则风险越大;风险是由威胁发起的,威胁越大则风险越大,并可能演变成安全事件;威胁都要利用脆弱性,脆弱性越大则风险越大;脆弱性使资产暴露,是未被满足的安全需求,威胁要通过利用脆弱性来危害资产,从而形成风险;资产的重要性和对风险的意识会导出安全需求;安全需求要通过安全措施来得以满足,且是有成本的;安全措施可以抗击威胁,降低风险,减弱安全事件的影响;风险不可能也没有必要降为零,在实施了安全措施后还会有残留下来的风险,—部分残余风险来自于安全措施可能不当或无效,在以后需要继续控制这部分风险,另一部分残余风险则是在综合考虑了安全的成本与资产价值后,有意未去控制的风险,这部分风险是可以被接受的;残余风险应受到密切监视,因为它可能会在将来诱发新的安全事件。
国家信息安全风险评估工作
29
五、下一步的工作考虑
30
谢谢!
31
汇报内容
一、国家风险评估前期工作概述 二、风险评估标准编制情况介绍 三、风险评估标准内容简介 四、风险评估试点工作情况介绍 五、下一步的工作考虑
2
一、国家风险评估前期工作概述
为了贯彻落实中办发2003[27]号文件的精神,国信办 委托国家信息中心牵头,会同公安部,保密局,中科院和解 放军等部门组织专家成立了风险评估课题组。课题组的宗 旨是以信息安全风险为切入点,全面了解我国信息安全建 设现状,发现问题并寻找应对措施。课题组在2003年下半 年对北京,上海,广州和深圳四个地区的十几个行业的五十 多家企事单位进行了广泛的调研与走访,完成了我国信息安 全风险评估调查报告,同时,课题组对国内外信息安全风险 评估工作进行了系统的理论梳理,所完成的信息安全风险评 估研究报告做为2004年1月在北京召开全国第一次信息安全 保障大会的传阅文件。在这次大会黄菊同志的讲话中要求 大家重视风险评估工作,并将风险评估列为我国信息安全 保障体系建设要抓的五项基础性工作之一。
3
一、国家风险评估前期工作概述
为了进一步推动信息安全风险评估工作,在2003年 工作基础上,国信办决定2004年继续委托国家信息中心 组织信息安全风险评估课题组下一阶段的工作。 为了将已有工作做深做实,并为下一步国家出台风 险评估指导意见以及进行国家重要信息系统和基础网络 的风险评估试点工作做准备,根据国信办领导的指示, 课题组在2004年上半年启动了风险评估指南和风险管理 指南等标准的编制工作。旨在通过这项工作更好地加强 信息安全风险评估及管理,使其流程更加科学、规范和 有效,从而促进我国信息安全保障体系的建立,进而推 动我国信息化的建设历程。
18
国家信息化领导小组关于加强信息安全保障工作的意见
国家信息化领导小组关于加强信息安全保障工作的意见文章属性•【制定机关】国家信息化领导小组•【公布日期】•【文号】中办发[2003]27号•【施行日期】•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】公共信息网络安全监察正文国家信息化领导小组关于加强信息安全保障工作的意见(中办发[2003]27号)随着世界科学技术的迅猛发展和信息技术的广泛应用,特别是我国国民经济和社会信息化进程的全面加快,网络与信息系统的基础性、全局性作用日益增强,信息安全已经成为国家安全的重要组成部分。
近年来,在党中央国务院的领导下,我国信息安全保障工作取得了明显成效,建设了一批信息安全基础设施,加强了互联网信息内容安全管理,为维护国家安全与社会稳定、保障和促进信息化建设健康发展发挥了重要作用。
但是必须看到,我国信息安全保障工作仍存在一些亟待解决的问题:网络与信息系统的防护水平不高,应急处理能力不强;信息安全管理和技术人才缺乏,关键技术整体上还比较落盾,产业缺乏核心竞争力;信息安全法律法规和标准不完善;全社会的信息安全意识不强,信息安全管理薄弱。
与此同时,网上有害信息传播、病毒入侵和网络攻击日趋严重,网络失泄密事件屡有发生,网络犯罪呈快速上升趋势,境内外敌对势力针对广播电视卫星、有线电视和地面网络的攻击破坏活动和利用信息网络进行的反动宣传活动日益猖撅,严重危害公众利益和国家安全,影响了我国信息化建设的健康发展。
随着我国信息化的逐步推进,特别是互联网的广泛应用,信息安全还将面临更多新的挑战。
为进一步提高信息安全保障工作的能力和水平,维护公众利益和国家安全,促进信息化建设健康发展,现提出以下意见。
一、加强信息安全保障工作的总体要求和主要原则加强信息安全保障工作的总体要求是:坚持积极防御、综合防范的方针,全面提高信息安全防护能力,重点保障基础信息网络和重要信息系统安全,创建安全健康的网络环境,保障和促进信息化发展,保护公众利益,维护国家安全。
企业信息安全风险评估方案
企业信息安全风险评估方案知识域:信息安全风险评估•:•知识子域:风险评估流程和方法■掌握国家对开展风险评估工作的政策要求■理解风险评估、检查评估和等级保护测评之间的关系掌握风险评估的实施流程:风险评估准备、资产识别、威胁评估、脆弱性评估、已有安全措施确认、风险分析、风险评估文档记录-理解走量风险分析和定性风险分析的区别及优缺点理解自评估和检查评估的区别及优缺点■掌握典型风险计算方法:年度损失值(ALE)、矩阵法、相乘法掌握风险评估工具:风险评估与管理工具、系统基础平台风险评估工具、风险评估辅助工具1、《国家信息化领导小组关于加强信息安全保障工作的意见》仲办发[2003]27号)中明确提出 :”要重视信息安全风险评估工作”对网络与信息系统安全的潜在威胁.薄弱环节、防护措施等进行分析评估,综合考虑网络与信息系统的重要性.涉密程度和面临的信息安全风险等因素,进行相应等级的安全建设和管理〃国家对开展风险评估工作的政2、《国家网络与信息安全协调小组〈关于开展信息安全风险评估工作的意见〉》(国信办[2006 】5号文)中明确规定了风险评估工作的相关要求:风险评估的基本内容和原则开展风险评估工作的有关安排风险评估工作的基本要求K信息安全风险评估工作应当贯穿信息系统全生命周期。
在信息系统规划设计阶段,通过信息安全风险评估工作,可以明确信息系统的安全需求及其安全目标,有针对性地制定和部署安全措施”从而避免产生欠保护或过保护的情况。
2、在信息系统建设完成验收时,通过风险评估工作可以检验信息系统是否实现了所设计的安全功能, 是否满足了信息系统的安全需求并达到预期的安全目标。
3. 由于信息技术的发展.信息系统业务以及所处安全环境的变化,会不断出现新的信息安全风险,因此,在信息系统的运行阶段,应当定期逬行信息安全风险评估,以检验安全措施的有效性以及对安全环境的适应性。
当安全形势发生重大变化或信息系统使命有重大变更时,应及时逬行信息安全风险评估。
信息安全风险评估计划
信息安全风险评估计划篇一:信息安全风险评估实施细则XXX公司信息安全风险评估实施细则二〇〇八年五月编制说明根据《XXX公司信息安全风险评估实施指南》和《XXX公司信息安全风险评估实施细则》(试行),近年来公司组织开展了风险评估常态化推广,通过多年对实施细则的应用、实践与总结,需要进一步对实施细则的内容进行调整和完善。
另一方面,随着国家对信息系统安全等级保护等相关政策、标准和基本要求,和公司信息化“SG186”工程安全防护总体方案和公司网络与信息系统安全隔离实施指导意见要求,也需要进一步对实施细则内容进行修订。
本细则主要修订了原有试行细则第四章脆弱性评估部分的具体内容。
主要包括:1、在原有基础上,增加或修改了信息安全管理评估、信息安全运行维护评估、信息安全技术评估的具体要求。
为保持本实施细则的可操作性,针对新增的具体要求,按原细则格式添加了标准分值、评分标准和与资产的安全属性(C、I、A)的对应关系。
目前,调整后总分值从原先的3000分调整至5000分,其中,管理占1800分、运行维护占1400分、技术占1800分。
2、为了与公司等级保护评估相结合并对应,框架结构方面,将信息安全运行维护评估(第 4.2节)中的“物理环境安全”部分调整至信息安全技术评估(第4.3.1小节),在信息安全技术评估中新增了“数据安全及备份恢复”(第4.3.8小节);具体内容方面,在每项具体要求新增了等级保护对应列。
目录1.2. 前言.................................................................................................... .............................. 1 资产评估.................................................................................................... . (2)2.1. 资产识别.................................................................................................... (2)2.2. 资产赋值.................................................................................................... (3)3. 威胁评估.................................................................................................... . (6)4. 脆弱性评估.................................................................................................... . (10)4.1. 信息安全管理评估.................................................................................................114.1.1. 安全方针.................................................................................................... .. (11)4.1.2. 信息安全机构.................................................................................................134.1.3. 人员安全管理.................................................................................................174.1.4. 信(本文来自: 千叶帆文摘:信息安全风险评估计划)息安全制度文件管理 (19)4.1.5. 信息化建设中的安全管理 (23)4.1.6. 信息安全等级保护 (29)4.1.7. 信息安全评估管理 (32)4.1.8. 信息安全的宣传与培训 (32)4.1.9. 信息安全监督与考核 (34)4.1.10. 符合性管理...................................................................................................364.2. 信息安全运行维护评估 (37)4.2.1. 信息系统运行管理 (37)4.2.2. 资产分类管理.................................................................................................414.2.3. 配置与变更管理 (42)4.2.4. 业务连续性管理 (43)4.2.5. 设备与介质安全 (46)4.3. 信息安全技术评估.................................................................................................504.3.1. 物理安全.................................................................................................... .. (50)4.3.2. 网络安全.................................................................................................... .. (53)4.3.3. 操作系统安全.................................................................................................604.3.4. 数据库安全.....................................................................................................724.3.5. 通用服务安全.................................................................................................814.3.6. 应用系统安全.................................................................................................854.3.7. 安全措施.................................................................................................... .. (90)4.3.8. 数据安全及备份恢复 (94)1. 前言1.1. 为了规范、深化XXX公司信息安全风险评估工作,依据国家《信息系统安全等级保护基本要求》、《XXX公司信息化“SG186”工程安全防护总体方案》、《XXX公司网络与信息系统安全隔离实施指导意见》、《XXX公司信息安全风险评估管理暂行办法》、《XXX 公司信息安全风险评估实施指南》(以下简称《实施指南》),组织对《XXX公司信息安全风险评估实施细则》进行了完善。
信息安全相关政策解读
政府部门信息技术外包服务机构申请信息 安全管理体系认证安全审查程序(暂行)
工业和信息化部公告(2011年第21号)
• 鼓励服务机构按照信息安全管理体系相关标准加强信息安全建设。服务
机构申请信息安全管理体系认证时,应选择国家认证认可监督管理委员 会批准开展信息安全管理体系认证的认证机构。
• 鼓励政府部门优先选用通过信息安全管理体系认证的信息技术服务机构
基本工作要求
应贯穿于网络和信息系统建设运行的全过程(设计、验收、运维) 定期组织实施网络与信息系统自评估,并积极配合有关部门的检查评估
相关保障
参照标准:《信息安全风险评估规范》(GB/T 20984-2007)、 《信息安全风险管理指南》 (GB/Z 24364-2009)
服务资质(对于涉及国计民生的基础网络和重要信息系统的风险评估技术服 务,要由国家专控的队伍来承担)
14
关于加强工业控制系统信息安全管理的 通知(工信部协[2011]451号)
工业控制系统信息安全事关工业生产运行、国家经济 安全和人民生命财产安全,为切实加强工业控制系统 信息安全管理,经国务院同意,现就有关事项通知如 下:
• 充分认识加强工业控制系统信息安全管理的重要性和紧迫性 • 明确重点领域工业控制系统信息安全管理要求 • 建立工业控制系统安全测评检查和漏洞发布制度 • 进一步加强工业控制系统信息安全工作的组织领导
十一五:试点 十二五:普及推广
5
我国信息安全政策的初步成效、后续展望
初步成效
依托2003年的27号文(总体纲领),明确了信息安全保障工作的总体要求 、工作原则和重点工作内容
围绕信息安全保障体系,广度结合深度,制定、发布并落实了一些典型的 信息安全政策(风险评估、等级保护、电子政务类、应急预案等)
关于加强信息安全风险评估的通知
关于加强信息安全风险评估的通知尊敬的各位员工:为了进一步加强公司的信息安全管理,保护公司的信息资产,提高公司的信息安全水平,我部决定全面推进信息安全风险评估工作。
现将有关事项通知如下:一、背景介绍随着人工智能、云计算、物联网等科技的快速发展,信息安全风险日益突出。
为了预防和应对信息安全漏洞、数据泄露、网络攻击等风险,加强对信息资产的保护,我们必须深入了解现有系统的安全状况,全面识别存在的风险,及时采取措施进行风险管控。
二、目标和意义1. 目标:通过信息安全风险评估,全面了解公司各类信息资产及其系统的安全状况,识别出潜在的安全风险,为下一步采取针对性的安全措施提供依据。
2. 意义:能够有效防范信息泄露、系统瘫痪、数据被篡改等风险,提高公司的信息资产价值,增强公司在市场竞争中的优势。
三、评估内容和方法1. 评估内容(1)信息系统安全评估:包括网络设备、服务器、数据库、操作系统等的安全性评估。
(2)安全策略评估:对公司的信息安全策略及制度、安全管理流程和操作规范进行评估。
(3)应用系统安全评估:对公司各类应用系统进行漏洞扫描、渗透测试等评估工作。
2. 评估方法(1)内部评估:由公司内部信息安全专家组成的评估小组,通过对系统、设备和策略的检查和分析,定期进行评估。
(2)外部评估:委托第三方信息安全机构进行评估,开展专业的渗透测试、漏洞评估等工作。
四、评估结果与报告1. 评估结果评估结果将根据风险等级划分为高、中、低三个级别,并详细列出相关风险的影响范围、可能引发的后果以及风险发生的可能性等。
2. 评估报告评估报告将以书面形式提交给信息安全管理部门,内容应包括系统现状分析、风险评估结果、风险处理建议等。
五、风险管控措施1. 根据评估报告中的风险等级,部门需制定相应的风险处理方案,并及时整改并优化相关系统。
2. 针对评估结果中的高风险问题,应设立专门的应急预案和安全应对措施,并组织演练和培训。
六、评估周期和责任划分1. 评估周期:信息安全风险评估工作将以年度为周期进行,并根据实际情况进行适当的调整与更新。
广播电视信息安全工作开展与建议
1 内重 点播 出单 位信 息安全 和 安全 播 出保 障能 力的风险评 } 估和等 级测 评 .全面掌 握行 业 内重要播 出机 构 的安全保 障能力 .最终实现安全 管理 的科学检查 .有效监督 。 J
的合法 利益 的危 害程度 大小 .确 定其 安全保 护等 级 .并 落实 与安全保 护等级相适应 的基本 安全防护措施 。
广 播 电视 播 出 传 输 覆 盖 系 统 有 着 很 强 的 专 业 特 色 .
1 势 的需要 ,因此 .要加 强对 行业 内信 息安全 人 员的技 能
和理 论知 识培 训 ,还 要在 开展信 息安 全风 险评 估和等 级 1 保护 测评 等 工作 中 ,锻炼 队伍 .积 累经验 ,培 养出 既了 解行业工作 .又 掌握信息安全技能 的人 才队伍 。
重 要 性 、 涉 密 程 度 和 面 临 的 风 险 等 因 素 , 进 行 相 应 等 级 的 安 全 建 设 和 管 理 。2 0 0 6年 1 月 国 家 网 络 和 信 息 安 全
随 着广播 电视 数字 化 网络化 的推 进 ,广播 电视播 出
和 播 出 控 制 系 统 越 来 越 依 赖 于 网络 和计 算 机 系 统 。 电 台 、 电 视 台 大 量 基 于 I 的 网 络 、存 储 播 出 设 备 逐 渐 取 代 传 P
为重 要 。
息资源 ,满 足精神 文化 需 求的重 要手 段 之一 ,还 肩 负着
普 及 和 提 高 教 育 、保 护 和 发 展 文 化 多 样 性 及 促 进 社 会 和 20 0 3年 7月 国 家 出 台 信 息 安 全 第 一 部 纲 领 性 文件 《 国 家 信息 化领 导 小 组关 于加 强信 息 安全 保 障工 作 的意 见》
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
国家网络与信息安全协调小组
关于开展信息安全风险评估工作的意见
(2006年1月)
随着国民经济和社会信息化进程的加快,网络与信息系统的基础性、全局性作用日益增强,国民经济和社会发展对网络和信息系统的依赖性也越来越大。
网络与信息系统自身存在的缺陷、脆弱性以及面临的威胁,使信息系统的运行客观上存在着潜在的风险。
《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确提出“要重视信息安全风险评估工作,对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估,综合考虑网络与信息系统的重要性、涉密程度和面临的信息安全风险等因素,进行相应等级的安全建设和管理”,将开展信息安全风险评估工作作为提高我国信息安全保障水平的一项重要举措。
为推动我国信息安全风险评估工作,现提出以下意见。
一、信息安全风险评估工作的基本内容和原则
信息安全风险评估就是从风险管理角度,运用科学的方法和手段,系统地分析网络秘信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施。
并为防范和化解信息安全风险,或者将风险控制在可接受的水平,从而最大限度地保障网络和信息安全
提供科学依据。
信息安全风险评估分为自评估、检查评估两种形式。
自评估是指网络与信息系统拥有、运营或使用单位发起的对本单位信息系统进行的风险评估。
检查评估是指信息系统上级管理部门组织的或国家有关职能部门依法开展的风险评估。
信息安全风险评估应以自评估为主,自评估和检查评估相互结合、互为补充。
自评估和检查评估可依托自身技术力量进行,也可委托第三方机构提供技术支持。
信息安全风险评估工作要按照“严密组织、规范操作、讲求科学、注重实效”的原则开展。
要重视和加强对信息安全风险评估工作的组织领导,完善相应的评估制度,形成预防为主、持续改进的信息安全风险评估机制。
开展信息安全风险评估工作要遵循国家相关法规和信息安全管理工作的规章,参照相关标准规范及评估流程,切实把握好关键环节和评估步骤,保证信息安全风险评估工作的科学性、规范性和客观性。
涉及国家秘密的信息系统的信息安全风险评估工作,必须遵循党和国家有关保密规定的要求。
二、信息安全风险评估工作的基本要求
信息安全风险评估作为信息安全保障工作的基础性工作和重要环节,应贯穿于网络和信息系统建设运行的全过程。
在网络与信息系统的设计、验收及运行维护阶段应当进行信息安全风险评估。
在网络与信息系统规划设计阶段,应通过信息安全风险评估进
一步明确安全需求和安全目标;在网络与信息系统验收阶段,应通过信息安全风险评估验证已设计安装的安全措施能否实现安全目标;在网络与信息系统运行维护阶段,应定期进行信息安全风险评估工作,检验安全措施的有效性及对安全环境变化的适应性,以保障安全目标的实现。
当安全形势发生重大变化或网络与信息系统使命有重大变更时,应及时进行信息安全风险评估。
要将开展信息安全风险评估作为提高信息安全管理水平的重要方法和措施。
要加强网络与信息系统规划设计阶段的信息安全风险评估,避免安全建设的盲目性。
网络与信息系统的拥有、运营、使用单位要将开展信息安全风险评估工作制度化,定期组织实施网络与信息系统自评估,并积极配合有关部门的检查评估;要针对风险评估中发现的问题,提出切实有效的整改措施。
有关部门要将开展信息安全风险评估作为基础信息网络和重要信息系统规划、建设和落实等级保护工作要求的重要内容,并对有关经费予以保障。
信息安全风险评估工作敏感性强,涉及网络与信息系统的关键资产和核心信息,网络与信息系统的拥有、运营、使用单位和高度主管部门要按照“谁主管谁负责,谁运营谁负责”的原则,切实负起严格管理的责任。
参与信息安全风险评估工作的单位及其有关人员均应遵守国家有关信息安全和保密的法律法规,并承担相应的责任和义务。
信息安全风险评估工作可能涉及个人隐私、工作或商业敏感信息,甚至国家秘密信息,风险评估工作的发起方式必须与参
与评估的有关单位或人员签订具有法律约束力的保密协议。
国家基础信息网络和关系国计民生的重要信息系统的信息安全风险评估工作,应按有关规定进行。
三、开展信息网络安全风险评估工作的有关安排
加强信息安全风险评估的基础性工作。
要加快制定和完善信息安全风险评估有关技术标准,尽快完善并颁布《信息安全风险评估指南》和《信息安全风险管理指南》等国家标准。
各行业主管部门也可根据本行业特点制定相应的技术规范。
重视信息安全风险评估核心技术、方法和工具的研究与攻关,积极开展信息安全风险评估的培训与交流。
抓紧研究制定有关信息安全服务资质的管理办法。
加强信息安全风险意识的宣传教育,加快培养信息安全风险评估的专门人才。
加强信息安全风险评估工作的组织领导。
各信息化和信息安全主管部门要充分认识风险评估工作对于提高信息安全管理水平的重要意义,高度重视对风险评估工作的组织领导,切实加强对风险评估工作的管理,抓紧制定贯彻落实的办法,积极稳妥地推进。
要从抓试点开始,逐步探索组织实施和管理的经验,用三年左右的时间在我国基础信息网络和重要信息系统普遍推行信息安全风险评估工作,全面提高我国信息安全的科学管理水平,提升网络与信息系统安全保障能力,为保障和促进我国信息化发展服务。