《信息安全技术 信息安全风险评估方法-编制说明》.pdfVIP

国家标准报批稿资料 一、工作简况 1.1 任务来源 2016年，经国标委批准，全国信息安全标准化技术委员会（SAC/TC260）2016 年第二次全会讨论通过，研究修订 《信息安全技术 信息安全风险评估规范》国 家标准。该项目由全国信息安全标准化技术委员会提出，全国信息安全标准化技 术委员会归口。 1.2 主要起草单位和工作组成员 国家信息中心和北京安信天行科技有限公司主要负责起草，协作起草单位包 括中国信息安全认证中心、中国电子技术标准化研究院、中国信息安全测评中心、 公安部信息安全等级保护评估中心、信息产业信息安全测评中心、中国科学院信 息工程研究所、北京信息安全测评中心、民航信息安全管理与测评中心和上海上 讯信息技术股份有限公司等。 1.3 主要工作过程 标准于2017年3月开始进行相关调研工作，于2017年7月立项，于2017年4月 至9月编制完成 《信息安全技术 信息安全风险评估规范 （修订版）》草案，并邀 请国家安全主管部门、重点行业主管机关、服务资质认证机构、安全评估从业机 构等对草案进行多次研讨。在2017年9月，标准召开了专家评审会。并将修改完 成后的 《信息安全技术 信息安全风险评估规范 （修订版）》草案提交安标委， 在2017年10月根据安标委的工作安排，供专家讨论评审。标准于2018年1月根据 专家意见，形成 《信息安全技术 信息安全风险评估规范 （修订版）》 （征求意 见稿），提交进行意见征集。 （1）基础研究和调研 组建 《信息安全风险评估规范》修订项目组，对近年来，尤其是中央网络安 全与信息化领导小组成立以来所发布的关于网络安全的一系列政策文件进行研 究，充分理解我国网络安全的战略规划对信息安全风险评估工作提出的新要求和 新挑战；同时，组织技术力量对云计算、物联网、大数据、智慧城市等新技术应 用对原有信息安全风险评估方法带来的挑战进行研究，并提出解决方案；组织人 员对ISO/IEC 27005:2011、ISO/IEC 13335,NIST SP 800系列等国际标准进行研 国家标准报批稿资料 究，充分了解和掌握国际上关于信息安全风险评估工作的最新研究动态，为 《信 息安全风险评估规范》修订工作提供借鉴。 通过座谈或现场调研等方式，对国内信息安全主管机构（包括但不限于中央 网信办、公安部、安全部、国家保密局、工信部、国家认监委等），行业协会 （包 括但不限于网络空间安全协会筹、中国信息协会、计算机学会、网络空间安全 研究院等），国家关键信息基础设施主管机构 （包括但不限于金融、电力、能源、 交通、通信、教育、水利、电子政务等），服务和体系认证机构 （包括但不限于 中国信息安全认证中心、中国信息安全测评中心、认监委认可的信息安全管理体 系第三方认证机构等），风险评估服务提供机构 （包括但不限于中国信息安全认 证中心颁发的风险评估服务资质一级单位、中国信息安全测评中心颁发的风险评 估服务单位）等开展广泛调研，充分了解和掌握《信息安全风险评估规范》（GB/T 20984-2007）的应用情况和存在的不足，为修订工作提供指导。 （2）形成标准修订的原则、方案，划定修订重点 在充分研究和调研的基础上，结合国家安全主管部门的意见，形成 《信息安 全风险评估规范》的修订原则、设定修订重点，重点修订原标准中与当前的国家 信息安全战略不相一致的地方，与当前广泛应用的信息技术不相适宜的过程和条 款，增加最新的信息安全风险评估方法等。在此基础上，形成标准修订方案。 （3）编制 《信息安全风险评估规范 （修订版）》草案 依据修订原则和修订方案，编制 《信息安全风险评估规范 （修订版）》草案， 邀请国家安全主管部门、重点行业主管机关、服务资质认证机构、安全评估从业 机构等，组织召开意见征询会，根据征询意见，调整框架并编制 《信息安全风险 评估规范 （修订版）》草案。 （4）按照安标委相关流程和要求，形成 《信息安全技术 信息安全风险评 估规范》（征求意见稿） 按照 《关于印发全国信息安全标准化技术委员会标准制修订工作程序的通 知》 （信安字[2016]004号）文件相关要求，在信安标委的指导下，在专家的帮 助下，完成标准草案、征求意见稿流程。 二、标准编制原则和确定主要内容的论据及解决的主要问题 本标