信息安全风险管理的动态跟趋势资料.pdf

信息安全风险管理的 动态与趋势 吴世忠 中国信息安全测评中心 目 录 引 言 一、国际信息安全风险管理动态 二、国内信息安全风险评估情况 三、我国信息安全风险管理展望 结 语 2007-1-18 引言 风险管理是当今信息安全保障工作的主流范 式，也是全球信息安全工作的热点之一； 据不完全统计，目前已有正式出版物20多种 、博士论文50余篇、政府工作报告100余份 、学术论文近千篇； 确立风险意识的文化、对风险进行现实的评 估、确保风险承担者分担风险、将风险管理 纳入日常工作过程，已成为风险管理的四大 核心内容； 风险管理虽然还不能说是一门精确的科学， 但它却是一门富于高度不可预见性的艺术。 一、国际信息安全风险管理动态 （一）美国：独占鳌头，加强控管 （二）欧洲：不甘落后，重在预防 （三）亚太：及时跟进，确保发展 （四）国际组织：积极配合，重在规范 2007-1-18 （一）美国：独占鳌头，加强控管 制定了从军政部门、公共部门和私营领域的 风险管理政策和指南 形成了军、政、学、商分工协作的风险管理 体系 国防部、商务部、审计署、预算管理等部门 各司其职，形成了较为完整的风险分析、评 估、监督、检查问责的工作机制 2007-1-18 DOD：风险评估的领路者 1967年，DOD开始研究计算机安全问题。到1970年，对当 时的大型机、远程终端作了第一次比较大规模的风险评估。 1977年，DoD提出了加强联邦政府和国防系统计算机安全的 倡议。 1987年，第一次对新发布的《计算机安全法》的执行情况进 行部门级评估 1997年，美国国防部发布《国防部IT安全认证认可过程》 （DITSCAP）；2000年，国家安全委员会发布了《国家信 息保障认证和认可过程》（NIACAP） 2007年，根据美国的网络安全国家战略计划，对政府各部门 的信息安全状况进行更加全面的审计和评估 2007-1-18 DOC/NIST：风险评估的推动者 2000年，NIST在《联邦IT安全评估框架》中提出了自评估的 5个级别。并颁布了《IT系统安全自评估指南》（SP 800-26） 2002年，NIST发布了《IT系统风险管理指南》（SP 800- 30）。阐明了风险评估的步骤、风险缓解的控制和评估评价 的方法。 2002年，颁布了《联邦信息安全管理法案》（FISMA），要 求联邦各机构必须进行定期的风险评估。 从2002年10月开始，NIST先后发布了《联邦IT系统安全认证 和认可指南》（SP 800-37）、《联邦信息和信息系统的安 全分类标准》（FIPS 199）、《联邦IT系统最小安全控制》 （SP 800-53）、《将各种信息和信息系统映射到安全类别 的指南》（SP 800-60）等多个文档，以风险思想为基础加 强联邦政府的信息安全。 2007-1-18 OMB/GAO：风险评估的监督者 1978年，美国白宫管理和预算办公室（ OMB ） 发布《联邦自动化信息系统的安全》（A-71 ）通 告， 1979年，颁布第一个联邦风险评估的标准：《自 动数据处理系统（ADP ）风险分析标准》（FIPS 65） 美国总审计署（GAO）根据“信息技术投资管理办 法” （ITIM）每年对各政府部门的信息安全情况进行制 度化的评估和审计，并公布结果。 2007-1-18 学术界：风险评估的探索者 美国政府通过信息安全教育计划鼓励和资助20多所著 名大学开展与信息安全风险管理相关的研究开发和人 才培养工作，为风险管理不断输送技术和智力资源。 以卡内基梅隆大学为例： • SSE-CMM