安全风险评估指南.ppt

信息安全风险评估国家标准
编制及内容介绍
范红
二00六年九月
1
主要内容
一、标准的编制过程
二、标准的主要内容
三、下一步工作的几点思考
2
主要内容
一、标准的编制过程
二、标准的主要内容
三、下一步工作的几点思考
3
一、标准的编制过程
1、前期研究准备
2、标准草案编制
3、试点实践检验
4、专家评审论证
4
一、标准的编制过程
1、前期研究准备
2、标准草案编制
3、试点实践检验
4、专家评审论证
5
1、前期研究准备
2003年7月, 中办发[2003]27号文件对开展信息安全风险评估工作提出了明确的要求。国信办委托国家信息中心牵头,成立了国家信息安全风险评估课题组,对信息安全风险评估相关工作展开调查研究。课题组利用半年多的时间,对我国信息安全风险评估现状进行了深入调查,掌握了第一手情况;对国内外相关领域的理论进行了学习、分析和研究,查阅了大量的相关资料,基本了解了此领域的国际前沿动态。这些都为标准编制工作奠定了良好的基础。
6
统一的风险评估技术标准是规范开展信息安全风险评估工作的必备条件。落实中办发27号文件、全面推进我国的信息安全风险评估工作,首先就必须解决我国缺乏统一的风险评估技术标准的问题。
为此,国信办领导根据专家们的建议,决定着手开展信息安全风险评估国家标准的编制工作及相关实践活动。旨在通过这项工作更好地加强国家基础网络和重要信息系统的风险评估及管理工作,使其流程更加科学、统一、规范、有效。
7
一、标准的编制过程
1、前期研究准备
2、标准草案编制
3、试点实践检验
4、专家评审论证
8
根据国信办的指示和信安标委的具体要求,国家信息中心组织国家保密技术研究所、公安部三所、北京信息安全测评中心、上海市测评认证中心、信息安全国家重点实验室以及BJCA、上海三零卫士、联想、天融信、启明星辰、绿盟、科飞、凝瑞等国内十几家企事业单位于2004年3月29日正式启动标准草案的编制工作。此后,中国信息安全产品测评认证中心、解放军信息技术安全研究中心、航天部二院七O六所等单位也参与了标准的编制与起草。
起草组在前期准备工作的基础上,经过多次研究探讨,确定了编制标准应遵循的原则:
2、标准草案编制
9
1 、符合我国现行的信息安全有关法律法规的要求,认真贯彻落实27号文件关于加强信息安全风险评估工作的精神;
2 、立足于我国信息化建设实践,积极借鉴国际先进标准的技术,提出符合我国基础网络和重要信息系统工程建设需求的风险评估规范;
3 、针对网络与信息系统的全生命周期,制订适应不同阶段特点和要求的风险评估实施方法;
4 、积极吸收信息安全有关主管部门和单位在等级保护、保密检查和产品测评等工作的经验与成果;
5 、标准文本体系结构科学合理,表述清晰,具有可实现性和可操作性。
10