信息安全风险评估国家标准编制及内容介绍( 44).pptVIP

信息安全风险评估国家标准 编制及内容介绍 主要内容 一、标准的编制过程 二、标准的主要内容 三、下一步工作的几点思考 主要内容 一、标准的编制过程 二、标准的主要内容 三、下一步工作的几点思考 一、标准的编制过程 1、前期研究准备 2、标准草案编制 3、试点实践检验 4、专家评审论证 一、标准的编制过程 1、前期研究准备 2、标准草案编制 3、试点实践检验 4、专家评审论证 1、前期研究准备 一、标准的编制过程 1、前期研究准备 2、标准草案编制 3、试点实践检验 4、专家评审论证 一、标准的制定过程 1、前期研究准备 2、标准草案编制 3、试点实践检验 4、专家评审论证 3、试点实践检验 一、标准的制定过程 1、前期研究准备 2、标准草案编制 3、试点实践检验 4、专家评审论证 2005年9月16日，国家信息中心在北京组织召开 了由周仲义院士主持的《信息安全风险评估指南（征求意 见稿）》第一次专家评审会。 第一次专家评审会名单 2005年10月27日，国家信息中心在北京组织召开了信息安全风险评估国家标准征求意见稿的第二次专家评审会。 第二次专家评审会名单 与会专家认为标准起草组做了大量卓有成效的工作，标准的结构合理、内容完备、可操作性强，并充分考虑与信息安全等级保护相关标准相衔接。文本的编制符合国家标准的要求。同时，专家们也对完善标准提出了进一步的修改意见。 2005年12月14日，由安标委第五工作组主持召开了由沈昌祥院士为专家组组长的信息安全风险评估国家标准送审稿的专家评审会。 专家评审会名单 与会专家听取了起草小组的编制说明及内容介绍，审阅了相关文档资料，经质询和讨论，一致认为： 一、送审稿规范了风险评估的评估内容与范围、基本概念，明确 了资产、威胁、脆弱性和安全风险等关键要素及其赋值原则和 要求，提出了实施流程与操作步骤、评估规则与基本方法，并 充分考虑与信息安全等级保护相关标准相衔接。 二、送审稿的操作性较强，对开展风险评估工作具有指导作用， 并在国务院信息办组织的风险评估试点中得到了进一步的实践 验证和充实完善。 三、文本的编制符合国家标准GB1.1的要求。 专家组认为送审稿达到国家标准送审稿的要求，同意通过评 审。建议起草组根据专家意见尽快修改完善后申报。 2006年３月６日和３月１６日，在国信办进行的 行业和省市的风险评估政策文件的两次宣贯会上，信息安全 风险评估征求意见稿以国信办文件的形式下发，为各行业和 省市开展风险评估提供技术依据。 2006年4月18日，全国信息安全标准化技术委员 （安标委）会第五工作组（WG5）在北京召开全体工作组成员 标准投票会议，对信息安全风险评估国家标准送审稿进行工 作组全体成员投票表决。与会的三十几位专家听取了标准起 草组对《指南》的编制过程以及主要内容的介绍，经投票一 致通过了标准的评审。 2006年6月19日，全国信息安全标准化技术委员会秘书处在北京组织召开了信息安全风险评估标准送审稿的专家审查会，与会专家经质询和讨论，将标准正式命名为《信息安全技术??? 信息安全风险评估规范》，认为该标准达到国家标准送审稿的要求，同意通过评审。 会后，国家信息中心先后与各起草单位和有关专家就标准规范报批稿的修改进行了进一步的研讨，并逐一落实了专家提出的意见。 2006年7月19日， 全国信息安全标准化委员会主任办公会上讨论通过了《信息安全技术? 信息安全风险评估规范》(报批稿),目前已进入报批程序。 主要内容 一、标准的编制过程 二、标准的主要内容 三、下一步工作的几点思考 二、标准的主要内容 1、什么是风险评估 2、为什么要做风险评估 3、风险评估怎么做 二、标准的主要内容 1、什么是风险评估 2、为什么要做风险评估 3、风险评估怎么做 1、什么是风险评估 信息安全风险 人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。 　 信息安全风险评估 依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。 风险评估要素关系图 二、标准的主要内容 1、什么是风险评估 2、为什么要做风险评估 3、风险评估