信息安全风险评估标准 信息安全风险评估规范.docVIP

信息安全风险评估标准 信息安全风险评估规范 2011-11-8 内容提要 信息安全风险评估规范 1. 我国信息安全风险评估工作推进概述 2. 信息安全风险评估规范概要 3. 风险评估的发展趋势 中国科学院研究生院 信息安全国家重点实验室 全国信息安全技术标准化委员会 WG7 赵战生 2011年11月3日 1. 我国信息安全风险评估工作推进概述 ? 2003年，在《关于加强信息安全保障工作的意 见》（中办发[2003]27号）中明确提出“要重视 信息安全风险评估工作，对网络与信息系统安全 的潜在威胁、薄弱环节、防护措施等进行分析评 估，综合考虑网络与信息系统的重要性、涉密程 度和面临的信息安全风险等因素，进行相应等级 的安全建设和管理”。将开展信息安全风险评估 工作作为提高我国信息安全保障水平的一项重要 举措。 ? 2003年7月组建成立“信息安全风险评估 课题组”，对信息安全风险评估工作的现状 进行全面深入了解，提出我国开展信息安全 风险评估的对策和办法，为下一步信息安全 的建设和管理做准备。 ? 2003年8月至12月, 课题组先后对四个地 区(北京、广州、深圳和上海)，十几个行业 的50多家单位进行了深入细致的调查与研 究，召开了9 次座谈会， 1 2011-11-8 ? 经过四个多月的努力,完成了约十万字的 《信息安全风险评估调查报告》、《信息安 全风险评估研究报告》文稿；其中《信息安 全风险评估研究报告》列为2004年1月全 国信息安全保障会议的传阅文件 ? 在此基础上编写了《信息安全风险评估指南》 为推动实施信息安全风险评估做了标准准备。 ? 什么是信息系统的安全风险 信息系统的安全风险，是由来自人为的与 自然的威胁利用系统存在的脆弱性造成的安 全事件发生的可能性及其可能造成的影响。 什么是信息安全风险评估 ? 为什么存在信息安全风险 人们的认识能力和实践能力是有局限性的， 因此，信息系统存在脆弱性是不可避免的。 信息系统的价值及其存在的脆弱性，使信息 系统在现实环境中，总要面临各种人为与自 然的威胁，存在安全风险也是必然的。 依据国家有关的政策法规及信息技术标准， 对信息系统及由其处理、传输和存储的信息 的保密性、完整性和可用性等安全属性进行 科学、公正的综合评估的活动过程。它要评 估信息系统的脆弱性、信息系统面临的威胁 以及脆弱性被威胁源利用后所产生的实际负 面影响，并根据安全事件发生的可能性和负 面影响的程度来识别信息系统的安全风险。 2 2011-11-8 为什么要进行信息安全风险评估 ? 因为任何信息系统都会有安全风险，所以， 人们追求的所谓安全的信息系统，实际是指 信息系统在实施了风险 评估并做出风险控制 后，仍然存在的残余风险可被接受的信息系 统。因此，要追求信息系统的安全，就不能 脱离全面、完整的信息系统的安全评估，就 必须运用信息系统安全风险评估的思想和规 范，对信息系统开展安全风险评估。 ? 信息安全建设的宗旨之一，就是在综合考虑 成本与效益的前提下，通过安全措施来控制 风险，使残余风险降低到可接受的程度。 ? 依据风险评估结果制定的信息安全解决方案， 最大限度的避免了盲目和浪费。可以使组织 在信息安全方面的投资获得最大的收益。 风险评估的意义和作用 1.风险评估是信息系统安全的基础性工作 ? 信息安全中的风险评估是传统的风险理论和方法在信息系统中的 运用，是科学地分析和理解信息与信息系统在保密性、完整性、 可用性等方面所面临的风险，并在风险的减少、转移和规避等风 险控制方法之间做出决策的过程。 ? 风险评估将导出信息系统的安全需求，因此，所有信息安全建设 都应该以风险评估为起点。信息安全建设的最终目的是服务于信 息化，但其直接目的是为了控制安全风险。 ? 只有在正确、全面地了解和理解安全风险后，才能决定如何处理 安全风险，从而在信息安全的投资、信息安全措施的选择、信息 安全保障体系的建设等问题中做出合理的决策。 ? 进一步，持续的风险评估工作可以成为检查信息系统本身乃至信 息系统拥有单位的绩效的有力手段，风险评估的结果能够供相关 主管单位参考，并使主管单位通过行政手段对信息系统的立项、 投资、运行产生影响，促进信息系统拥有单位加强信息安全建设。 2.风险评估是分级防护和突出重点原则的具体体现 ? 信息安全建设的基本原则包括必须从实际出发，坚持分级防护、突出 重点。 ? 风险评估正是这一原则在实际工作中的具体体现。 ? 从理论上讲，不存在绝对的安全，实践中也不可能做到绝对安全，风 险总是客观存在的。 ? 安全是风险与成本的综合平衡。 ? 盲目追求安全和回避风险是不现实的，也不是分级防护原则所要求的。 ? 要从实际出发，坚持分级防护、突出重点，就必须正确地评估风险， 以便采取科学、客观、