安风险评估指南（62页）.pptxVIP

信息安全风险评估国家标准编制及内容介绍;主要内容;主要内容;一、标准的编制过程;一、标准的编制过程;1、前期研究准备;统一的风险评估技术标准是规范开展信息安全风;一、标准的编制过程;根据国信办的指示和信安标委的具体要求，国家信息

中心组织国家保密技术研究所、公安部三所、北京信息安全测评中心、上海市测评认证中心、信息安全国家重点实验室以及BJCA、上海三零卫士、联想、天融信、启明星辰、绿盟、科飞、凝瑞等国内十几家企事业单位于2004年3月29日正式启动标准草案的编制工作。此后，中国信息安全产品测评认证中心、解放军信息技术安全研究中心、航天部二院七O六所等单位也参与了标准的编制与起草。

起草组在前期准备工作的基础上，经过多次研究探讨，确定了编制标准应遵循的原则:;、符合我国现行的信息安全有关法律法规的要求，认真贯彻落实27号文件关于加强信息安全风险评估工作的精神；

、立足于我国信息化建设实践，积极借鉴国际先进标准的技术，提出符合我国基础网络和重要信息系统工程建设需求的风险评估规范；

、针对网络与信息系统的全生命周期，制订适应不同阶段特点和要求的风险评估实施方法；

、积极吸收信息安全有关主管部门和单位在等级保护、保密检查和产品测评等工作的经验与成果；

、标准文本体系结构科学合理，表述清晰，具有可实现性和可操作性。;在标准编制的过程中，标准起草组多次与相关主管;一、标准的制定过程;3、试点实践检验;整个试点工作历时7个月，各试点单位对标准草案;一、标准的制定过程;2005年9月16日，国家信息中心在北京组织召开

了由周仲义院士主持的《信息安全风险评估指南（征求意

见稿）》第一次专家评审会。;第一次专家评审会名单;2005年10月27日，国家信息中心在北京组织召开了;第二次专家评审会名单;与会专家认为标准起草组做了大量卓有成效的工作，;2005年12月14日，由安标委第五工作组主持召开了;专家评审会名单;与会专家听取了起草小组的编制说明及内容介绍，审阅了

相关文档资料，经质询和讨论，一致认为：;2006年３月６日和３月１６日，在国信办进行的;2006年4月18日??全国信息安全标准化技术委员;2006年6月19日，全国信息安全标准化技术委;2006年7月19日，全国信息安全标准化委员;主要内容;二、标准的主要内容;二、标准的主要内容;1、什么是风险评估;风险评估要素关系图;二、标准的主要内容;2、为什么要做风险评估;风险评估可以不断深入地发现系统建设中的安全隐患，

采取或完善更加经济有效的安全保障措施，来消除安全建设中的盲目乐观或盲目恐惧，提出有针对性的从实际出发的解决方法，提高系统安全的科学管理水平，进而全面提升网络与信息系统的安全保障能力。;信息安全风险评估，是从风险管理角度，运用科学;二、标准的主要内容;3、风险评估怎么做;3、风险评估怎么做;风险评估的实施流程;实施步骤;3、风险评估怎么做;信息安全风险评估分为自评估、检查评估两种形式。

自评估为主，自评估和检查评估相互结合、互为补充。自评估和检查评估可依托自身技术力量进行，也可委托第三方机构提供技术支持。;自评估;自评估中的“自”不仅仅是指自已做评估的“自”，也不仅仅是指自愿做评估的“自”。由于“谁主管谁负责”，出于对自身信息系统的安全责任考虑，信息系统主管者应定期对系统进行风险评估，具体实施时可以依托自身的评估队伍进行，也可委托有资质的第三方提供评估服务技术支持，但

无论是哪一种形式，责任都是由信息系统主管者自已担负的。因此，自评估中的“自”的含义是自已负责的“自”。包括自已负责系统的安全、自己发起对信息系统的风险评估以及自己负责为保障系统安全所做的风险评估的安全等。;此外，为保证风险评估的实施，与系统相连的相关方也应配合，以防止给其他方的使用带来困难或引入新的风险也往往较多，因此，要对实施检查评估机构的资质进行严格管理。;检查评估;一是风险评估究其根本是评估系统的敏感信息，涉及大量的安全问题，完全委托第三方将带来评估本身的风险；

二是进行风险评估要求评估人员既要了解评估本身的一套方法与流程，还要了解被评估系统的业务特性，这对于完全从事评估的第三方来讲，在短时间内了解每个系统的业务特性难度是比较大的；

三是风险评估工作流程中常常要求被评估方向评估方提供各种信息，需要之间的良好互动以及多方会商，单靠评估方第三方是无法完成系统评估的。

基于以上原因，委托评估技术支持比委托评估的提法更为切合实际。并且，提供委托评估技术支持的机构应具有相应的资质。;3、风险评估怎么做;国信办[2006]5号文件指出：信息安全风险评估应

贯穿于网络与信息系统建设运行的全过程。在网络与信息系统的设计、验收及运行维护阶段均应当进行信息安全风险评估。如在网络与信息系统规划设计阶段，应通过信息安全风