信息安全风险评估国家标准编制及内容介绍
信息安全技术信息安全风险评估规范
ICS 35.040L 80中华人民共和国国家标准GB/T ××××—××××信息安全技术信息安全风险评估规范Information security technology-Risk assessment specification for information security(报批稿)××××-××-××发布××××-××-××实施国家质量监督检验检疫总局发布目次前言 (II)引言 (III)1 范围 (1)2 规范性引用文件 (1)3 术语和定义 (1)4 风险评估框架及流程 (4)4.1 风险要素关系 (4)4.2 风险分析原理 (5)4.3 实施流程 (5)5 风险评估实施 (6)5.1 风险评估准备 (6)5.2 资产识别 (8)5.3 威胁识别 (12)5.4 脆弱性识别 (14)5.5 已有安全措施确认 (16)5.6 风险分析 (17)5.7 风险评估文档记录 (19)6 信息系统生命周期各阶段的风险评估 (20)6.1 信息系统生命周期概述 (20)6.2 规划阶段的风险评估 (20)6.3 设计阶段的风险评估 (21)6.4 实施阶段的风险评估 (22)6.5 运行维护阶段的风险评估 (23)6.6 废弃阶段的风险评估 (23)7 风险评估的工作形式 (24)7.1 概述 (24)7.2 自评估 (24)7.3 检查评估 (24)附录A (资料性附录) 风险的计算方法 (27)A.1 使用矩阵法计算风险 (26)A.2 使用相乘法计算风险 (31)附录B (资料性附录)风险评估的工具 (35)B.1 风险评估与管理工具 (35)B.2 系统基础平台风险评估工具 (36)B.3 风险评估辅助工具 (37)参考文献 (37)前言本标准附录A和附录B是资料性附录。
关于信息安全风险评估
关于信息安全风险评估
信息安全风险评估是指对组织的信息系统和数据资产进行全面的评估和分析,确定潜在的安全威胁和风险,并采取相应的控制措施来减轻和管理这些风险。
信息安全风险评估通常包括以下几个步骤:
1. 确定资产:确定组织的重要信息系统和数据资产,包括硬件、软件、网络设备、数据库、敏感数据等。
2. 识别威胁:分析各种可能的威胁和攻击方式,如黑客攻击、病毒感染、内部威胁等。
3. 评估风险:评估每种威胁对组织信息资产的潜在影响和可能性,确定其风险等级。
4. 确定控制措施:根据评估结果,确定恰当的控制措施来减轻和管理风险,包括技术控制措施(如防火墙、入侵检测系统)、组织控制措施(如安全策略、流程和培训)以及法规合规控制措施。
5. 评估控制效果:评估已实施的控制措施对风险的减轻效果,确定是否需要进一步改进和加强控制。
6. 编制报告和建议:总结评估结果,撰写详细的报告并提出相应的建议,帮助组织制定有效的信息安全管理计划。
信息安全风险评估是信息安全管理的重要组成部分,通过综合
分析和评估风险,帮助组织更好地理解和应对安全威胁,提高信息资产的安全性和可靠性。
信息安全风险评估试点工作面面观:信息安全风险评估国家标准简述
囝 2 6g;Leabharlann 0 2j 0  ̄1维普资讯
信 息 网 络 安 全
安 全 服 务
弱性 引发 的安全 事 件 ,并 由于 受损 信息 资 产 的重要 性 而对
机 构造 成的影 响 。
( ) 险评 估准 备 1 风
风 险 评 估 的准 备 是 整 个 风险 评 估 过程 有 效 性 的保 证 。 组 织实 施风 险评 估是 一 种 战略性 的考虑 ,其 结 果将 受到 组
几个月来试点单位积累了哪些经验又发现了哪些不足200516日作为一次研讨性质的总结会中国信息安全风险评估现状与展望高峰论坛在京举行与会的专家学者国家基础信息网络和重要信息系统风险评估试点单位的负责人纷纷表示开展信息安全风险评估工作是社会发展和科技进步的必然要求它将为推动我国信息安全保障工作的全面开展进而为保障我国信息化建设的顺利实施产生深远的影响但风险评估作为一种新的理念还需要人们去认同作为一种方法论还需要人们去研究和把握作为一种管理措施还需要主管部门大力推进
试 点 单 位 的 负 责 人 纷 纷 表 示 ,开 展 信 息 安 全 风 险 评 估 工 作 是 社 会 发 展 和 科 技 进 步 的 必 然 要 求 , 它 将 为 推 动 我 国 信 息 安 全 保 障 工 作 的 全 面 开 展 , 进 而 为 保 障 我 国 信 息 化 建 设 的 顺 利 实 施 产 生 深 远 的 影 响 , 但 风 险 评 估 作 为 一 种 新 的 理 念 还 需
( ) 产识 别 2 资 在一个 组织 中, 资产 有多种 表现 形 式 , 同样 的 两个 资产 也 因属于 不 同 的信息 系统 而 重要 性 不 同 ,而 且对 于提 供 多 种 业务 的组织 , 支持 业务 持续 运行 的 系统数 量可 能 更 多。 其 这 时首 先 需 要将 信 息 系统 及 相 关 的 资产 进 行恰 当 的分 类 , 以此为基 础进 行 下一步 的 风险评 估 。 实际 工作 中 , 在 具体 的 资产 分类 方 法可 以根 据 具体 的评 估对 象 和要 求 ,由评 估 者 灵活 把 握 。 对 资产 的 赋值 不 仅要 考虑 资 产 的经 济价 值 ,更 重要 的 是要 考虑 资 产 的安全 状 况对 于 系统或 组 织 的重要 性 ,由资 产 在其三 个 安全 属性 上 的达 成程 度 决定 。 为确保 资 产赋值 时 的一致 性和 准确 性 , 组织 应 建立 资产价 值 的评价 尺 度 , 以 指导 资产 赋值 。 资 产赋值 的过 程也 就 是对 资产 在机 密性 、完 整性 和 可 用性 上 的达成 程 度进 行分 析 ,并 在此 基础 上 得 出综合 结 果 的过程 。 成程 度可 由 安全 属性 缺失 时造成 的影响 来表 示 , 达 这种 影 响可能 造 成某 些 资产 的损 害 以至 危及 信息 系统 ,还 可能 导致 经济 效益 、市 场份 额 、组织形 象 的损 失 。 资 产价值 应 依 据 资产 在机 密性 、完整 性 和可 用性 上 的 赋 值 等级 , 过综 合评 定得 出 。 经 综合 评定 方 法可 以根 据 自身 的特点 , 选择 对资 产机 密性 、 整 性和可 用性 最 为重要 的 一 完 个 属 性 的赋值 等级 作 为 资产 的最 终赋 值结 果 ,也 可 以根 据 资产机 密 性 、完 整性 和可 用 性的 不 同等级 对其 赋 值进 行加 权 计 算得 到 资产 的最 终赋 值结 果 。加 权 方法 可根 据组 织 的 业务特 点 确定 。
《我国信息安全技术标准体系与认证认可制度介绍》
第十期《我国信息安全技术标准体系与认证认可制度介绍》一. 什么是信息安全技术标准体系?为了规范信息系统建设、资源保护、管理、服务等信息安全各方面的建设,使信息安全在各个方面都有据可依,信息安全标准的制定显得十分重要,国际国内都形成了具有一定规模的信息安全标准体系.信息安全标准体系是由信息安全领域内具有内在联系的标准组成的科学有机整体,是编制信息安全标准编制、修订计划的重要依据,是促进信息安全领域内的标准组成趋向科学合理化的手段.信息安全技术领域有国际标准体系、国家标准体系、行业标准体系和地方标准体系等,而且通常高层次的标准体系对下有约束力。
事实上,在这些特定领域标准的执行还要看各个国家的管理法规和制度。
国际信息安全标准体系主要由信息系统安全的一般要求、开发安全技术和机制、开发安全指南和安全管理支撑性文件和标准等几部分组成。
二。
国内外信息安全标准化组织有哪些?国际上与信息安全标准化有关的组织主要有以下四个.1.ISO/IEC JTC1(信息技术标准化委员会)所属SC27(安全技术分委员会)的前身是SC20(数据加密技术分委员会),主要从事信息技术安全的一般方法和技术的标准化工作。
ISO/TC68负责银行业务应用范围内有关信息安全标准的制定,主要制定行业应用标准,与SC27有着密切的联系。
ISO/IEC JTC1负责制定的标准主要是开放系统互连、密钥管理、数字签名、安全评估等方面。
2。
lEC在信息安全标准化方面除了与ISO联合成立了JTC1下的分委员会外,还在电信、信息技术和电磁兼容等方面成立了技术委员会,如TC56可靠性、TC74 IT设备安全和功效、TC77电磁兼容、TC108音频/视频、信息技术和通信技术电子设备的安全等,并且制定相关国际标准。
3.ITU SG17组负责研究网络安全标准,包括通信安全项目、安全架构和框架、计算安全、安全管理、用于安全的生物测定、安全通信服务等.4。
IETF(Internet工程任务组)制定标准的具体工作由各个工作组承担。
信息安全风险评估指南
海军计算技术研究所 公安部信息安全标委会委员 国家信息化咨询委员会 中科院信息安全技术工程研究中心 国家保密技术研究所 公安部十一局 国家信息化咨询委员会
22
与会专家听取了起草小组的编制说明及内容介绍,审阅了 会专家听取了起草小组的编制说明及内容介绍, 相关文档资料,经质询和讨论,一致认为: 相关文档资料,经质询和讨论,一致认为:
13
整个试点工作历时7个月,各试点单位对标准草案 个试点工作历时7个月,
先后提出40 多条补充修改意见,标准起草组根据试点结果 先后提出 多条补充修改意见,标准起草组根据试点结果 先后进行了三次较大规模的修改.主要内容包括: 先后进行了三次较大规模的修改.主要内容包括: --细化了资产的分类方法,脆弱性的识别要求,修 细化了资产的分类方法, 细化了资产的分类方法 脆弱性的识别要求, 改并细化了风险计算的方法; 改并细化了风险计算的方法; --对自评估,检查评估不同评估形式的内容与实施 对自评估, 对自评估 的重点进行了区分; 的重点进行了区分; --对风险评估的工具进行了梳理和区分,形成了现 对风险评估的工具进行了梳理和区分, 对风险评估的工具进行了梳理和区分 在的几种类型; 在的几种类型; --细化了生命周期不同阶段风险评估的主要内容. 细化了生命周期不同阶段风险评估的主要内容. 细化了生命周期不同阶段风险评估的主要内容 试点实践证明,试行标准基本满足各试点单位评估工 试点实践证明, 作的需求. 作的需求.
送审稿规范了风险评估的评估内容与范围,基本概念, 一,送审稿规范了风险评估的评估内容与范围,基本概念,明确 了资产,威胁, 了资产,威胁,脆弱性和安全风险等关键要素及其赋值原则和 要求,提出了实施流程与操作步骤,评估规则与基本方法, 要求,提出了实施流程与操作步骤,评估规则与基本方法,并 充分考虑与信息安全等级保护相关标准相衔接. 充分考虑与信息安全等级保护相关标准相衔接. 送审稿的操作性较强,对开展风险评估工作具有指导作用, 二,送审稿的操作性较强,对开展风险评估工作具有指导作用, 并在国务院信息办组织的风险评估试点中得到了进一步的实践 验证和充实完善. 验证和充实完善. 文本的编制符合国家标准GB1.1的要求. GB1.1的要求 三,文本的编制符合国家标准GB1.1的要求. 专家组认为送审稿达到国家标准送审稿的要求, 专家组认为送审稿达到国家标准送审稿的要求,同意通过评 建议起草组根据专家意见尽快修改完善后申报. 审.建议起草组根据专家意见尽快修改完善后申报.
信息安全风险评估的基本过程概要
7.2.4 进行系统调研
系统调研是确定被评估对象的过程。风险评估团队应进 行充分的系统调研,为信息安全风险评估依据和方法的选择、 评估内容的实施奠定基础。调研内容至少应包括: ⑴ 业务战略及管理制度; ⑵ 主要的业务功能和要求; ⑶ 网络结构与网络环境,包括内部连接和外部连接; ⑷ 系统边界; ⑸ 主要的硬件、软件; ⑹ 数据和信息; ⑺ 系统和数据的敏感性; ⑻ 支持和使用系统的人员。
表7-3 资产等级及含义描述
等级
标识
定义
5 4 3 2 1
很高 高 中 低 很低
非常重要,其安全属性破坏后可能对组织造成非常严重的损失 重要,其安全属性破坏后可能对组织造成比较严重的损失 比较重要,其安全属性破坏后可能对组织造成中等程度的损失 不太重要,其安全属性破坏后可能对组织造成较低的损失 不重要,其安全属性破坏后对组织造成很小的损失,甚至忽略不计
软件
硬件
服务
人员 其它
7.3.3.1 定性分析 定性风险评估一般将资产按其对于业务的重要性 进行赋值,结果是资产的重要度列表。资产的重要度 一般定义为“高”、“中”、“低”等级别,或直接 用数字1~3表示。组织可以按照自己的实际情况选择 3个级别、5个级别等,表7-3给出了5级分法的资产 重要性等级划分表。
7.2.2 确定信息安全风险评估的范围 既定的信息安全风险评估可能只针对组织全部 资产的一个子集,评估范围必须明确。 描述范围最重要的是对于评估边界的描述。评 估的范围可能是单个系统或者是多个关联的系统。 比较好的方法是按照物理边界和逻辑边界来描 述某次风险评估的范围。
7.2.3 组建适当的评估管理与实施团队 在评估的准备阶段,评估组织应成立专门的评 估团队,具体执行组织的信息安全风险评估。团队成 员应包括评估单位领导、信息安全风险评估专家、技 术专家,还应该包括管理层、业务部门、人力资源、 IT系统和来自用户的代表。
信息安全风险评估国家标准编制及内容介绍
中国工程院 国务院信息办 国家发改委高科技司
姚世权
贾颖禾 崔书昆 景乾元 李建彬 张宏伟 姚丽旋 肖京华 冯惠 吴伟
中国标准化协会
全国信息安全标准化技术委员会 国家信息化专家咨询委员会 公安部十一局 国税总局信息中心 黑龙江省信息产业厅 上海市信息化管理委员会 总参三部三局 中国电子技术标准化研究所 国家电网公司
32
二、标准的主要内容
1、什么是风险评估 2、为什么要做风险评估 3、风险评估怎么做
33
2、为什么要做风险评估
安全源于风险。
在信息化建设中,建设与运营的网络与信息系统由于可能 存在的系统设计缺陷、隐含于软硬件设备的缺陷、系统集成时 带来的缺陷,以及可能存在的某些管理薄弱环节,尤其当网络 与信息系统中拥有极为重要的信息资产时,都将使得面临复杂 环境的网络与信息系统潜在着若干不同程度的安全风险。
26
2006年7月19日, 全国信息安全标准化委员
会主任办公会上讨论通过了《信息安全技术 信息安全风 险评估规范》(报批稿),目前已进入报批程序。
27
主要内容
一、标准的编制过程 二、标准的主要内容 三、下一步工作的几点思考
28
二、标准的主要内容
1、什么是风险评估 2、为什么要做风险评估 3、风险评估怎么做
9
1 、符合我国现行的信息安全有关法律法规的要求, 认真贯彻落实27号文件关于加强信息安全风险评估工作的 精神; 2 、立足于我国信息化建设实践,积极借鉴国际先进 标准的技术,提出符合我国基础网络和重要信息系统工程 建设需求的风险评估规范; 3 、针对网络与信息系统的全生命周期,制订适应不 同阶段特点和要求的风险评估实施方法; 4 、积极吸收信息安全有关主管部门和单位在等级保 护、保密检查和产品测评等工作的经验与成果; 5 、标准文本体系结构科学合理,表述清晰,具有可 实现性和可操作性。
信息安全风险评估概述
信息安全风险评估概述
信息安全风险评估是指对信息系统中的可能存在的安全威胁和漏洞进行识别、测量和评估的过程。
其主要目的是确定信息系统面临的潜在安全风险,并提出相应的安全控制措施,以降低风险发生和对组织造成的损失。
信息安全风险评估的概述包括以下几个主要内容:
1. 风险识别:通过审查信息系统的各个组成部分,包括硬件、软件、网络架构、数据流程等,识别可能存在的安全威胁和漏洞。
2. 风险分析:对已识别的安全威胁和漏洞进行分析,测量其可能对信息系统造成的损失,并评估其发生的可能性。
3. 风险评估:根据风险分析的结果,对每种安全威胁和漏洞进行评估,并确定其对组织的风险水平。
4. 风险控制措施:根据风险评估的结果,提出相应的安全控制措施,包括技术措施(如加密、防火墙、入侵检测系统等)、组织措施(如安全政策、培训等)和管理措施(如风险管理计划、应急响应计划等)。
5. 风险监测和评估:持续监测信息系统的安全状况,及时评估已实施的安全控制措施的有效性,并根据需要进行调整和改进。
通过信息安全风险评估,组织可以全面了解自身信息系统面临
的安全风险,并采取相应的措施,保护信息系统的机密性、完整性和可用性,保护组织的业务运作和利益。