信息安全风险评估国家标准 编制及内容介绍 主要内容主要内容一、标准的编制过程一、标准的编制过程1、前期研究准备一、标准的编制过程1、符合我国现行的信息安全有关法律法规的要求，认真贯彻落实27号文件关于加强信息安全风险评估工作的精神； 2、立足于我国信息化建设实践，积极借鉴国际先进标准的技术，提出符合我国基础网络和重要信息系统工程建设需求的风险评估规范； 3、针对网络与信息系统的全生命周期，制订适应不同阶段特点和要求的风险评估实施方法； 4、积极吸收信息安全有关主管部门和单位在等级保护、保密检查和产品测评等工作的经验与成果； 5、标准文本体系结构科学合理，表述清晰，具有可实现性和可操作性。 在标准编制的过程中，标准起草组多次与相关主管部门所属机构的专家代表就技术标准有关主体内容进行会商；向相关单位发放标准文本，通过电子邮件等形式广泛征求业界意见；召开标准讨论会议三十几次，共收集100多条修改意见。 起草组逐一对修改意见进行研究，在充分吸纳合理成份的基础上，对《信息安全风险评估规范》等标准进行了较大幅度的修改，使标准的体系结构更趋完善、合理。一、标准的制定过程3、试点实践检验 整个试点工作历时7个月，各试点单位对标准草案先后提出40多条补充修改意见，标准起草组根据试点结果先后进行了三次较大规模的修改。主要内容包括： --细化了资产的分类方法、脆弱性的识别要求，修 改并细化了风险计算的方法； --对自评估、检查评估不同评估形式的内容与实施 的重点进行了区分； --对风险评估的工具进行了梳理和区分，形成了现 在的几种类型； --细化了生命周期不同阶段风险评估的主要内容。 试点实践证明，试行标准基本满足各试点单位评估工作的需求。一、标准的制定过程2005年9月16日，国家信息中心在北京组织召开 了由周仲义院士主持的《信息安全风险评估指南（征求意 见稿）》第一次专家评审会。 第一次专家评审会名单 2005年10月27日，国家信息中心在北京组织召开了信息安全风险评估国家标准征求意见稿的第二次专家评审会。第二次专家评审会名单 与会专家认为标准起草组做了大量卓有成效的工作，标准的结构合理、内容完备、可操作性强，并充分考虑与信息安全等级保护相关标准相衔接。文本的编制符合国家标准的要求。同时，专家们也对完善标准提出了进一步的修改意见。 2005年12月14日，由安标委第五工作组主持召开了由沈昌祥院士为专家组组长的信息安全风险评估国家标准送审稿的专家评审会。专家评审会名单与会专家听取了起草小组的编制说明及内容介绍，审阅了相关文档资料，经质询和讨论，一致认为： 一、送审稿规范了风险评估的评估内容与范围、基本概念，明确 了资产、威胁、脆弱性和安全风险等关键要素及其赋值原则和 要求，提出了实施流程与操作步骤、评估规则与基本方法，并 充分考虑与信息安全等级保护相关标准相衔接。 二、送审稿的操作性较强，对开展风险评估工作具有指导作用， 并在国务院信息办组织的风险评估试点中得到了进一步的实践 验证和充实完善。 三、文本的编制符合国家标准GB1.1的要求。 专家组认为送审稿达到国家标准送审稿的要求，同意通过评 审。建议起草组根据专家意见尽快修改完善后申报。2006年３月６日和３月１６日，在国信办进行的 行业和省市的风险评估政策文件的两次宣贯会上，信息安全 风险评估征求意见稿以国信办文件的形式下发，为各行业和 省市开展风险评估提供技术依据。 2006年4月18日，全国信息安全标准化技术委员 （安标委）会第五工作组（WG5）在北京召开全体工作组成员 标准投票会议，对信息安全风险评估国家标准送审稿进行工 作组全体成员投票表决。与会的三十几位专家听取了标准起 草组对《指南》的编制过程以及主要内容的介绍，经投票一 致通过了标准的评审。 2006年6月19日，全国信息安全标准化技术委员会秘书处在北京组织召开了信息安全风险评估标准送审稿的专家审查会，与会专家经质询和讨论，将标准正式命名为《信息安全技术信息安全风险评估规范》，认为该标准达到国家标准送审稿的要求，同意通过评审。 会后，国家信息中心先后与各起草单位和有关专家就标准规范报批稿的修改进行了进一步的研讨，并逐一落实了专家提出的意见。2006年7月19日，全国信息安全标准化委员会主任办公会上讨论通过了《信息安全技术信息安全风险评估规范》(报批稿),目前已进入报批程序。主要内容二、标准的主要内容二、标准的主要内容1、什么是风险评估风险评估要素关系图二、标准的主要内容2、为什么要做风险评估 风险评估可以不断深入地发现系统建设中的安全隐患，采取或完善更加经济有效的安全保障措施，来消除安全建设中的盲目乐观或盲目恐惧，提出有针对性的从实际出发的解决方法，提高系统安全的科学管理水平，进而全面提升网络与信息系统的安全保障能力。