- 1、本文档共45页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
0307国标版《信息安全风险评估指南》.doc
中华人民共和国国家标准
目 次
目次 I
前言 II
引言 II
1 范围 2
2 规范性引用文件 2
3 术语和定义 2
4 风险评估框架及流程 2
4.1 风险要素关系 2
4.2 风险分析原理 2
4.3 实施流程 2
5 风险评估实施 2
5.1 风险评估的准备 2
5.2 资产识别 2
5.3 威胁识别 2
5.4 脆弱性识别 2
5.5 已有安全措施确认 2
5.6 风险分析 2
5.7 风险评估文件记录 2
6 信息系统生命周期各阶段的风险评估 2
6.1 信息系统生命周期概述 2
6.2 规划阶段的风险评估 2
6.3 设计阶段的风险评估 2
6.4 实施阶段的风险评估 2
6.5 运行维护阶段的风险评估 2
6.6 废弃阶段的风险评估 2
7 风险评估的工作形式 2
7.1 自评估 2
7.2 检查评估 2
附录A 2
A.1 使用矩阵法计算风险 2
A.2 使用相乘法计算风险 2
附录B 2
B.1 风险评估与管理工具 2
B.2 系统基础平台风险评估工具 2
B.3 风险评估辅助工具 2
前 言
为指导和规范针对信息系统及其管理的信息安全风险评估工作,特制定本标准。
本标准定义了风险评估的基本概念、原理及实施流程;对资产、威胁和脆弱性识别要求进行了详细描述;提出了风险评估在信息系统生命周期不同阶段的实施要点,以及风险评估的工作形式。
本标准附录A是规范性附录,附录B是资料性附录。
本标准由国务院信息化工作办公室提出。
本标准由全国信息安全标准化技术委员会归口。
本标准主要起草单位:国家信息中心、北京信息安全测评中心、上海市信息安全测评认证中心、解放军测评认证中心、国家保密技术研究所、信息安全国家重点实验室。
本标准主要起草人:范红、吴亚非、应力、王宁。
引 言
随着政府部门、金融机构、企事业单位、商业组织等对信息系统依赖程度的日益增强,信息安全问题受到普遍关注。采用风险管理的理念去识别安全风险,解决信息安全问题得到了广泛的认识和应用。
风险评估通过对信息系统的资产、面临威胁、存在的脆弱性、采用的安全控制措施等进行分析,从技术和管理两个层面综合判断信息系统面临的风险。
风险评估是建立信息安全保障机制中的一种科学方法。对信息系统而言,存在风险并不意味着不安全,只要风险控制在可接受的范围内,就可以达到系统稳定运行的目的。风险评估的结果为保障信息系统的安全建设、稳定运行提供了技术参考。在规划与设计阶段,风险评估的结果是安全需求的来源,为信息系统的安全建设提供依据;在系统运行维护阶段,由于信息系统的动态性,需要定期地进行风险评估,以了解、掌握系统安全状态,是保证系统安全的动态措施。同时,风险评估是信息系统安全等级确定及建设过程中一种不可或缺的技术手段。
信息系统的所有者可使用本标准为其选择安全措施,实施信息系统保护提供技术支持,依据本标准中提出的安全风险理念选择技术与管理控制措施;信息系统的所有者还可以基于本标准的评估结果来决定信息系统的安全措施是否满足安全需求,是否将重要资产的风险降低到可接受的范围内;并依据本标准进行持续性评估,以不断识别信息系统面临的风险。风险评估的实施者可以依据本标准进行风险评估,依据本标准的判定准则,做出科学的判断。信息系统的管理机构可依据本标准对信息系统及其管理进行安全检查,推动行业或地区信息安全风险管理的实施。
本标准条款中所指的“风险评估”,其含义均为“信息安全风险评估”。
信息安全风险评估指南
范围
本标准提出了风险评估的要素、实施流程、评估内容、评估方法及其在信息系统生命周期不同阶段的实施要点,适用于组织开展的风险评估工作。
规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注明日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
GB/T 19716-2005 信息技术 信息安全管理实用规则
GB/T 19715.1-2005 信息技术 信息技术安全管理指南 第1部分:信息技术安全概念和模型
GB 17859-1999 计算机信息系统安全保护等级划分准则
GB/T9361-2000 计算机场地安全要求
GB/T 5271.8-2001 信息技术 词汇 第8部分:安全
术语和定义
3.1
资产 asset
对组织具有价值的信息或资源,是安全策略保护的对象。
3.2
资产价值 asset value
资产的重要程度或敏感程度的表征。资产价值是资产的属性,也是进行资产识别的主要内容。
3.3
可用性 availability
数据或资源的特性,被授权实体按要求能访问和使用数据或资源
您可能关注的文档
- 0000001-山西省疾病预防控制中心.doc
- 01-纺材绪论.ppt.ppt
- 01镉风险评估-EU-ChinaAgriculture&FoodSafety.PDF
- 02.節能減碳技術交流COSTCO高雄[相容模式].PDF
- 1-中国动物卫生监督网.PDF
- 1.北京市高新技术成果转化项目认定申请书.doc-北京市科学.doc
- 101年度新增(修)資訊申報項目說明.ppt
- 2008基于复合期权的r_d项目投资评价.pdf-管理与决策研究所.PDF
- 2008年6月-Fujitsu.PDF
- 2009TechnicalVisitsProgramsandlectures-VisitHelsinki.PDF
- GB/T 32151.38-2024温室气体排放核算与报告要求 第38 部分:水泥制品生产企业.pdf
- 中国国家标准 GB/T 32151.38-2024温室气体排放核算与报告要求 第38 部分:水泥制品生产企业.pdf
- 《GB/T 22069-2024燃气发动机驱动空调(热泵)机组》.pdf
- GB/T 22069-2024燃气发动机驱动空调(热泵)机组.pdf
- 中国国家标准 GB/T 22069-2024燃气发动机驱动空调(热泵)机组.pdf
- 中国国家标准 GB/T 11064.1-2024碳酸锂、单水氢氧化锂、氯化锂化学分析方法 第1部分: 碳酸锂含量的测定 滴定法.pdf
- GB/T 11064.1-2024碳酸锂、单水氢氧化锂、氯化锂化学分析方法 第1部分: 碳酸锂含量的测定 滴定法.pdf
- 《GB/T 11064.1-2024碳酸锂、单水氢氧化锂、氯化锂化学分析方法 第1部分: 碳酸锂含量的测定 滴定法》.pdf
- GB/T 1148-2024内燃机 铝活塞.pdf
- 中国国家标准 GB/T 1148-2024内燃机 铝活塞.pdf
文档评论(0)