国家标准《信息安全技术信息安全风险评估规范》（征求意见.docVIP

国家标准《信息安全技术 信息安全风险评估规范》（征求意见稿）编制说明 一、工作简况 1.1 任务来源起草单位和工作组成员工作过程9月，标准召开了专家评审会。并将修改完成后的《信息安全技术 信息安全风险评估规范（修订版）》草案提交安标委，在2017年10月根据安标委的工作安排，供专家讨论评审。标准于2018年1月根据专家意见，形成《信息安全技术 信息安全风险评估规范（修订版）》（征求意见稿），提交进行意见征集。 基础研究和智慧城市网络空间安全研究院关键信息基础设施电子政务体系认监委认可的管理体系第三方认证机构中国信息安全测评中心颁发的服务单位充分研究和调研的基础上，国家安全主管部门的意见，《安全风险评估规范》修订设定修订重点，重点修订原标准中当前的信息安全战略不一致的地方，与当前广泛的信息技术不相条款，增加最新的信息安全风险评估方法等。此基础上，形修订方案 依据修订原则和修订方案，《安全风险评估规范）》草案国家安全主管部门、行业主管机关、资质认证机构、评估从业机构等，召开意见，根据征询意见，调整框架并编制《安全风险评估规范）》 按照安标委相关和要求，形成《安全技术安全风险评估规范》 按照《安字2016]004号）相关要求，信安标委的指导下，在专家帮助下，标准草案、征求意见稿流程。ISO/IEC 13335、ISO/IEC 27005:2008,2011、NIST SP 800-30。 合理性原则体现在与国内实际情况相结合。通过对《信息安全技术 信息安全风险评估规范》（GB/T 20984-2007）进行修订完善,调整标准中与当前国家安全战略和安全形势不一致、或在标准应用过程中不适宜的方法和内容，优化风险评估的实施流程和过程,补充完善标准中缺失的方法和内容，提升标准的科学性和适宜性，形成能够与当前信息安全新形势和新环境相适宜的信息安全风险评估标准,为推动《中华人民共和国网络安全法》和《国家网络空间安全战略》的落实，指导我国的信息安全保障工作开展奠定基础。 本项目在《中华人民共和国网络安全法》、《国家网络空间安全战略》和《“十三五”国家网络安全规划》的指导下，对信息安全风险评估工作在我国的开展现状进行调研，对新的网络空间安全战略下，信息安全风险评估工作所面临的新要求和新挑战进行充分分析，同时，结合国内外的先进研究成果和实践经验，研究信息安全风险评估规范的修订原则、修订方针和修订重点，在这些方针和原则的指导下，对GB/T 20984-2007进行修订，形成新版的信息安全风险评估规范标准，指导我国的信息安全风险评估工作开展。 本次修订内容主要包括标准语境术语修订、实施流程和方法修订、全生命周期评估内容修订。 语境及标准修订，将对信息系统和网络的信息安全风险评估 标准术语修订。遵照《网络安全法》的要求，将“信息安全风险评估规范”中的有关术语，修订成网络空间安全风险评估、国家关键信息基础设施评估等 标准评估对象进行调整，将原有的基于资产的评估方法，调整为基于国家安全战略、组织战略、单位核心业务保护的风险评估方法 另外，在修订-2007时,要充分兼容GB/T 31722-2015（IDT ISO/IEC 27005:2008） 实施流程和方法的修订 原有基于资产的评估流程和进行修订，调整为基于或组织战略的风险评估方法，调整的下图所示。 全生命周期风险评估内容的修订 修订，将 五、产业化情况、推广应用论证和预期达到的经济效果 无。 六、采用国际标准和国外先进标准情况 未采用国际标准。 国外先进标准情况如下： 国外开展信息安全风险评估的时间比较早，在20世纪80年代，美国、加拿大等发达国家就已经开始建立信息安全风险评估体系，制定了相关标准，评估方法、技术。美国国防部于上世纪八十年代中期发布了TCSEC（即可信计算机系统评估标准，业界称之为橘皮书），世界上很多国家根据自己实际情况，均都研究并发布了一系列信息安全评估标准： 英国、法国、德国、荷兰等国家在1991年联合将ITSEC（信息技术安全评估标准）提出来； 加拿大于1993年发布了可信计算机产品评价标准CTCPEC（Canadian Trusted Computer Product Evaluation Criteria）； 1993年，由6国7方（加拿大、法国、德国、荷兰、英国、美国NIST及美国NSA）提出了CC（即为信息技术安全评估通用标准），目前，CC已经被采纳为国际标准ISO/IEC 15408-1； 1999年由英国标准协会（BSI）将修改之后的BS7799标准重新发布，涵盖了信息安全管理实施细则、信息安全管理体系规范（即为BS7799-1、BS7799-2），并且BS7799-1通过了国际标准化组织ISO的认可，成为了国际标准（ISO/IEC 17799）。 ISO/IEC 133