国家信息安全风险评估规范.doc

封面
目录
第一章文档样式说明 1
二级标题样式 1
三级标题样式 4
四级标题样式 4
第二章项目总体理解 5
项目理解思路 5
项目定位及总体理解 5
XXX业务相关的问题、对策及目标分析 5
对本项目各项建设内容及目标的理解 5
本项目与其他系统的间的关系 5
术语及缩略语 5
第三章需求分析 6
项目概述 6
本项目需求分析方法论 6
气象资料分析 6
本项目用户群分析 6
业务需求分析 6
功能需求分析 6
非功能性需求分析 6
项目实施、管理及服务需求分析 6
第四章附录:图表目录 7
图片目录 7
表格目录 7
信息安全技术风险评估规范
信息安全风险评估规范
1  范围
    本标准提出了风险评估的基本概念、要素关系、分析原理、实施流程和评估方法,以及风险评估在信息系统生命周期不同阶段的实施要点和工作形式。
    本标准适用于规范组织开展的风险评估工作。
2规范性引用文件:
   下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版据本部分达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
    GB/T 9361  计算机信息安全要求
    GB 17859--1999计算机信息系统安全保护等级划分准则
GB/T 18336--2001信息技术  安全技术信息技术安全性评估准则(idt ISO/IEC 15408:1999)
    GB/T 19716--(ISO/IEC 17799. 2000,MOD)
3术语和定义
    下列术语和定义适用于本标准.   

    资产asset
    对组织具有价值的信息或资源,是安全策略保护对象。

    资产价值asset valqe
    资产的重要程度或敏感程度的表征。资产价值是资产的属性,也是进行资产识别的主要内容。 
  
    可用性  availability
    数据或资源的特性,被授权实体按要求能访问和使用数据或资源。

    业务战略  business strategy
    组织为实现其发展目标而制定的一组规则或要求。

    保密性  confidentiality
    数据所具有的特性,即表示数据所达到的未提供或来泄露给非授权的个人、过程或其他实体的程度。

    信息安全风险  information security risk
    人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。

    (信息安全)风险评估(information security) risk assment
    依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响.

   信息系统information system
   由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
    典型的信息系统由三部分组成:硬件系统(计算机硬件系统和网络硬件系统);系统软件(计算机系统软件和网络系统软件);应用软件(包括由其处理、存储的信息)。

   检查评估inspection assessment
   由被评估组织的上级主管机关或业务主管机关发起的,依据国家有关法规与标准,对信息系统及其管理进行的具有强制性的检查活动。

完整性integrity
保证信息及信息系统不会被非授权更改或破坏的特性。包括数据完整性和系统完整性。

  anization
  由作用不同的个体为实施共同的业务目标而建立的结构。一个单位是一个组织,某个业务部门也可以是一个组织。

残余风险residual risk
采取了安全措施后,信息系统仍然可能存在的风险。

子评估self-assessment
由组织自身发起,依据国家有关法规与标准,对信息系统及其管理机型的风险评估活