信息安全风险评估国家标准编制及内容介绍.ppt

二、标准的主要内容 1、什么是风险评估 2、为什么要做风险评估 3、风险评估怎么做 1、什么是风险评估 信息安全风险 人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。 　 信息安全风险评估 依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。 风险评估要素关系图 图中方框部分的内容为风险评估的基本要素;椭圆部分的内容是与这些要素相关的属性。 风险评估围绕着基本要素展开，同时需要充分考虑与基本要素相关的各类属性。 （1）业务战略的实现对资产具有依赖性，依赖程度越高，要求其风险越小； （2）资产是有价值的，组织的业务战略对资产的依赖程度越高，资产价值就越大； （3）风险是由威胁引发的，资产面临的威胁越多则风险越大，并可能演变成安全事件； （4）资产的脆弱性可以暴露资产的价值，资产具有的弱点越多则风险越大； （5）脆弱性是未被满足的安全需求，威胁利用脆弱性危害资产； （6）风险的存在及对风险的认识导出安全需求； （7）安全需求可通过安全措施得以满足，需要结合资产价值考虑实施成本； （8）安全措施可抵御威胁，降低风险； （9）残余风险是未被安全措施控制的风险。有些是安全措施不当或无效,需要加强才可控制的风险；而有些则是在综合考虑了安全成本与效益后未去控制的风险； （10）残余风险应受到密切监视，它可能会在将来诱发新的安全事件。 二、标准的主要内容 1、什么是风险评估 2、为什么要做风险评估 3、风险评估怎么做 2、为什么要做风险评估 安全源于风险。 在信息化建设中，建设与运营的网络与信息系统由于可能存在的系统设计缺陷、隐含于软硬件设备的缺陷、系统集成时带来的缺陷，以及可能存在的某些管理薄弱环节，尤其当网络与信息系统中拥有极为重要的信息资产时，都将使得面临复杂环境的网络与信息系统潜在着若干不同程度的安全风险。 风险评估可以不断深入地发现系统建设中的安全隐患，采取或完善更加经济有效的安全保障措施，来消除安全建设中的盲目乐观或盲目恐惧，提出有针对性的从实际出发的解决方法，提高系统安全的科学管理水平，进而全面提升网络与信息系统的安全保障能力。 信息安全风险评估，是从风险管理角度，运用科学的方法和手段，系统地分析网络与信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施。并为防范和化解信息安全风险，或者将风险控制在可接受的水平，从而最大限度地保障网络和信息安全提供科学依据。 （国信办[2006]5号文件） 二、标准的主要内容 1、什么是风险评估 2、为什么要做风险评估 3、风险评估怎么做 3、风险评估怎么做 -风险评估实施流程 -风险评估的形式 -信息系统生命周期各阶段的风险评估 3、风险评估怎么做 -风险评估实施流程 -风险评估的形式 -信息系统生命周期各阶段的风险评估 风险评估的实施流程 先期准备 要素分析 风险分析 文档记录 风险评估实施流程图 　　实施步骤 (1) 风险评估的准备 (2) 资产识别 (3) 威胁识别 (4) 脆弱性识别 (5) 已有安全措施的确认 (6) 风险分析 (7) 风险评估文件记录 3、风险评估怎么做 -风险评估实施流程 -风险评估的形式 -信息系统生命周期各阶段的风险评估 信息安全风险评估分为自评估、检查评估两种形式。自评估为主，自评估和检查评估相互结合、互为补充。自评估和检查评估可依托自身技术力量进行，也可委托第三方机构提供技术支持。 风险评估的形式 信息安全风险评估国家标准 编制及内容介绍 范　红 二00六年九月 主要内容 一、标准的编制过程 二、标准的主要内容 三、下一步工作的几点思考 主要内容 一、标准的编制过程 二、标准的主要内容 三、下一步工作的几点思考 一、标准的编制过程 1、前期研究准备 2、标准草案编制 3、试点实践检验 4、专家评审论证 一、标准的编制过程 1、前期研究准备 2、标准草案编制 3、试点实践检验 4、专家评审论证 1、前期研究准备  2003年7月, 中办发[200