信息安全风险评估规范.pdfVIP

2011-11-8 内容提要 信息安全风险评估规范 1.我国信息安全风险评估工作推进概述 2. 信息安全风险评估规范概要 3. 风险评估的发展趋势 中国科学院研究生院 信息安全国家重点实验室 全国信息安全技术标准化委员会 WG7 赵战生 2011年11月3 日 1. 我国信息安全风险评估工作推进概述  2003年，在 《关于加强信息安全保障工作的意  2003年7月组建成立 “信息安全风险评估 见》 （中办发[2003]27号）中明确提出“要重视 课题组”，对信息安全风险评估工作的现状 信息安全风险评估工作，对网络与信息系统安全 进行全面深入了解，提出我国开展信息安全 风险评估的对策和办法，为下一步信息安全 的潜在威胁、薄弱环节、防护措施等进行分析评 的建设和管理做准备。 估，综合考虑网络与信息系统的重要性、涉密程 度和面临的信息安全风险等因素，进行相应等级  2003年8月至12月, 课题组先后对四个地 的安全建设和管理”。将开展信息安全风险评估 区(北京、广州、深圳和上海)，十几个行业 的50多家单位进行了深入细致的调查与研 工作作为提高我国信息安全保障水平的一项重要 究，召开了9 次座谈会， 举措。 1 2011-11-8 经过四个多月的努力,完成了约十万字的 什么是信息系统的安全风险 《信息安全风险评估调查报告》、 《信息安 全风险评估研究报告》文稿；其中 《信息安 信息系统的安全风险，是由来自人为的与 全风险评估研究报告》列为2004年1月全 自然的威胁利用系统存在的脆弱性造成的安 国信息安全保障会议的传阅文件 全事件发生的可能性及其可能造成的影响。  在此基础上编写了 《信息安全风险评估指南》 为推动实施信息安全风险评估做了标准准备。 什么是信息安全风险评估 为什么存在信息安全风险 依据国家有关的政策法规及信息技术标准， 人们的认识能力和实践能力是有局限性的， 对信息系统及由其处理、传输和存储的信息 因此，信息系统存在脆弱性是不可避免的。 的保密性、完整性和可用性等安全属性进行 信息系统的价值及其存在的脆弱性，使信息 科学、公正的综合评估的活动过程。它要评 系统在现实环境中，总要面临各种人为与自 估信息系统的脆弱性、信息系统面临的威胁 然的威胁，存在安全风险也是必然的。 以及脆弱性被威胁源利用后所产生的实际负