我国信息安全风险评估工作的现状与发展.ppt

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 中国信息安全风险评估论坛 信息安全风险评估培训 为了落实和推进国务院信息办的工作要求，更好的开展培训工作，国家信息中心信息安全研究与服务中心组织了《信息安全风险评估培训教材》的编写工作。该培训教材从国家政策、技术标准、技术方法、产品工具以及实施案例几个方面，详细描述信息安全风险评估工作的主要内容。 全书共四篇：信息安全风险评估理念、技术和方法、产品与工具以及评估案例；全书约24万字。 特点：深入浅出，实用为主；靠近实战，边学边用。 谢谢 * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 为了应对这些威胁，在《网络空间安全：迫在眉睫的危机》报告中，PITAC提出了10大优先研究项目，其中信息安全风险评估位列其中。其主要研究内容包括： （1）开发网络空间安全测试方法、评估标准 （2）风险分析方法和基于不同领域的评估方法（政治、军事、经济等） （3）安全风险以及一致性检查的自动评估工具的研发 （4）对易受到攻击对象的评估研究工作，如源代码扫描工具 （5）通过研究过程管理、配置管理和补丁管理的最佳策略方案，来发现并提供有效的安全管理实施方案 为什么要做信息安全风险评估 三、我国信息安全风险评估回顾 调查与研究 标准编制与试点 政策文件起草 我国信息安全风险评估回顾 2003年7月《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发［2003］27号）中专门提出开展风险评估的要求 ： 对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估，综合考虑网络与信息系统的重要性、涉密程度和面临的风险等因素，进行相应等级的安全建设和管理 调查研究工作 国信办安全组为落实中办发2003[27]号文件的要求，于2003年7月决定委托国家信息中心组建“信息安全风险评估课题组”，对我国信息安全风险评估工作的现状进行调查，提出我国开展风险评估的对策和办法 成员单位：国家信息中心、公安部、安全部、信息产业部、国家认监委、国家标准化委、国家密码管理局、国家保密局、国家计算机网络与信息安全中心、中国信息安全产品测评认证中心、北京市信息办、解放军测评认证中心 调查研究工作 课题组先后对四个地区(北京、广州、深圳和上海)，十几个行业的50多家单位进行了调查 完成了《信息安全风险评估调查报告》、《信息安全风险评估研究报告》和《关于加强信息安全风险评估工作的建议》稿 调查报告反映的主要情况及问题 被调查单位信息化程度各有不同 对风险评估的重视程度与信息化程度成正比关系 国内现阶段风险评估状况 风险评估已逐渐成为信息安全的一个新的点 发现的八个问题，其中评估流程不规范是一大问题 研究报告的主要内容 信息系统安全风险评估的概念 风险评估的意义和作用 信息安全风险评估的目标和目的 信息安全风险评估的基本要素 风险评估对信息系统生命周期的支持 风险评估的一般工作流程 当前存在的风险评估理论和工具 我国信息系统安全风险评估的现状和问题 信息安全风险评估工作的原则 等级保护、认证认可、风险管理、风险评估的关系 自评估、强制性检查评估与委托评估 信息系统安全风险评估的角色和责任 信息安全风险评估的任务和措施 对风险评估工作的建议内容 积极贯彻落实27号文件 建立健全和完善信息系统安全风险评估的工作机制 统筹建设信息安全风险评估的基础设施和基础环境 启动评估工作流程、工作规范标准的研究与制定 推进基础信息网络和重要信息系统的信息安全风险评估试点示范工作 加强宣传教育，提高风险意识 标准制定工作 根据《信息安全风险评估研究报告》的建议, 2004年三月下旬课题组专家经过充分的讨论与分析，报国务院信息办安全组批准,开展了《信息安全风险评估指南》和《信息安全风险管理指南》二个规范草案的制定。 国家信息中心信息安全研究与服务中心组织了近二十家有实际工作经验的企事业单位约四十多人，开了二十多次工作会议，进行了信息安全风险评估标准规范草案的制定工作；到九月下旬, 完成《信息安全风险评估指南》和《信息安全风险管理指南》二个规范草案的初稿。 标准制定工作 2004年全国信息安全标准化技术委员会将《信息安全风险评估指南》列入2005年度国家信息安全标准制定工作计划中, 将《信息安全风险管理指南》列入国家信息安全标准研究工作规划中。目前《信息安全风险评估指南》已完成评审, 报国家标准管