信息安全风险评估.pdf

信息安全风险评估 信息安全风险评估 中国科学院研究生院 信息安全国家重点实验室 赵战生 2004年7月3 日 内容概要 内容概要 国信办下达的研究任务及研究进展 国信办下达的研究任务及研究进展 国际上风险评估的发展及现状 国际上风险评估的发展及现状 我国信息系统安全风险评估的现状和问题 我国信息系统安全风险评估的现状和问题 什么是信息安全风险评估 什么是信息安全风险评估 为什么要进行风险评估 为什么要进行风险评估 怎样进行风险评估 怎样进行风险评估 国信办下达的 国信办下达的 研究任务 研究任务 及研究进展 及研究进展  2003年7月22日，国务院信息化领导小组第三次会议  2003年7月22日，国务院信息化领导小组第三次会议 专题讨论了 《关于加强信息安全保障工作的意见〉， 专题讨论了 《关于加强信息安全保障工作的意见〉， 9月中央办公厅、国务院办公厅转发了 《国家信息化 9月中央办公厅、国务院办公厅转发了 《国家信息化 领导小组关于加强信息安全保障工作的意见〉 领导小组关于加强信息安全保障工作的意见〉 （2003[27]号文件）。文件要求采取必要措施进行信 （2003[27]号文件）。文件要求采取必要措施进行信 息安全风险的防范。 息安全风险的防范。  7月23日国信办安全组决定委托国家信息中心组建成  7月23日国信办安全组决定委托国家信息中心组建成 立“信息安全风险评估课题组”，对信息安全风险评估 立“信息安全风险评估课题组”，对信息安全风险评估 工作的现状进行全面深入了解，提出我国开展信息安 工作的现状进行全面深入了解，提出我国开展信息安 全风险评估的对策和办法，为下一步信息安全的建设 全风险评估的对策和办法，为下一步信息安全的建设 和管理做准备。 和管理做准备。  国家信息中心根据国务院信息办安全组的要  国家信息中心根据国务院信息办安全组的要 求,迅速成立了以国家信息中心公共技术服 求,迅速成立了以国家信息中心公共技术服 务部主任宁家骏为组长,包括崔书昆、曲成 务部主任宁家骏为组长,包括崔书昆、曲成 义、赵战生、吴亚非、左晓栋博士、范红博 义、赵战生、吴亚非、左晓栋博士、范红博 士和朱建勇博士组成，贾颖禾为国信办联络 士和朱建勇博士组成，贾颖禾为国信办联络 员的 “信息安全风险评估”起草组, 开展信 员的 “信息安全风险评估”起草组, 开展信 息安全风险评估筹备工作。 息安全风险评估筹备工作。 后根据工作需要又吸收杜虹、景乾元两位同 后根据工作需要又吸收杜虹、景乾元两位同 志参加。 志参加。 课题组在广东、上海、北京共访问了50多个 单位,召开了5 次座谈会。 研究与起草阶段开了7次研讨会。 经过四个多月的努力,完成了：  信息安全风险评估调查报告  信息安全风险评估研究报告  关于信息安全风险评估工作的意见 三份稿约十万字  提交的 《信息安全风险评估研究报告》在多次  提交的 《信息安全风险评估研究报告》在多次 征求意见和修改后，作为全国信息安全保障工 征求意见和修改后，作为全国信息安全保障工 作会议下发的文件附件，在2004年1月9 日发放 作会议下发的文件附件，在2004年1月9 日发放 给会议参加者。 给会议参加者。 研究报告结构  一、前言  二、信息系统安全风险评估的概念  三、风险评估的意义和作用  四、信息安全风险评估的目标和目的  五、信息安全风险评估的基本要素  六、风险评估对信息系统生命周期的支持  七、风险评估的一般工作流程  八、当前存在的风