[转帖]信息安全风险评估指南中华人民共和国国家标准征求意见稿

翔羽

目　次

目　次.... I

前  言.... III

信息安全风险评估指南.... 1

1 范围.... 1

2 规范性引用文件.... 1

3 术语和定义.... 1

3.1 资产.... 1

3.2 资产价值.... 1

3.3 威胁.... 1

3.4 脆弱性.... 1

3.5 风险.... 1

3.6 残余风险.... 2

3.7 风险评估.... 2

3.8 保密性.... 2

3.9 完整性.... 2

3.10 可用性.... 2

3.11 业务战略.... 2

3.12 安全事件.... 2

3.13 安全需求.... 2

3.14 安全措施.... 2

3.15 自评估.... 2

3.16 他评估.... 2

4 风险评估概述.... 3

4.1 风险评估的目的与意义.... 3

4.2 评估指南的目标读者.... 3

4.3 评估指南的文档组织.... 3

5 风险评估模型及流程.... 3

5.1 风险评估要素关系模型.... 4

5.2 风险计算模型.... 5

5.3 风险评估实施流程.... 5

6 风险评估实施.... 6

6.1 风险评估的准备.... 6

6.1.1 确定范围... 7

6.1.2 确定目标... 7

6.1.3 确定组织结构... 7

6.1.4 确定方法... 7

6.1.5 获得最高管理者批准... 7

6.2 资产识别.... 8

6.2.1 资产定义... 8

6.2.2 资产分类... 8

6.2.3 资产赋值... 8

6.2.3.1保密性赋值... 9

6.2.3.2完整性赋值... 10

6.2.3.3可用性赋值... 11

6.3 威胁识别.... 12

6.3.1 威胁定义... 12

6.3.2 威胁分类... 13

6.3.3 威胁赋值... 14

6.4 脆弱性识别.... 15

6.4.1 脆弱性定义... 15

6.4.2 脆弱性分类... 16

6.4.3 脆弱性赋值... 17

6.5 已有安全措施的确认.... 17

6.6 风险识别.... 18

6.6.1 风险的计算... 18

6.6.2 风险结果的判定... 18

6.6.2.1风险等级的划分... 18

6.6.2.2控制措施的选择... 19

6.6.2.3残余风险的评价... 19

6.7 风险评估结果纪录.... 20

7 风险评估在信息系统生命周期中的不同要求.... 21

7.1 信息系统生命周期概述.... 21

7.2 信息系统生命周期各阶段中的风险评估.... 22

8 风险评估的形式及角色运用.... 25

8.1 风险评估的形式.... 25

8.2 风险评估不同形式与其中各角色的关系.... 25

附录一  风险的计算方式.... 29

A.1 结构化的风险计算方式.... 29

A.1.1 风险矩阵测量.... 29

A.1.2 威胁分级法.... 30

A.1.3 风险综合评价.... 31

A.1.4 风险二值法.... 31

A.2 非结构化的风险计算方式.... 32

A.2.1 风险矩阵.... 32

A.2.2 从员工职务角度进行风险分析.... 33

A.2.3 威胁分析法.... 34

A.3 调查问卷方法.... 35

附录二　风险评估的工具.... 36

B1　安全管理评价系统.... 36

B2　信息基础设施风险评估工具.... 36

B3　风险评估辅助工具.... 37

翔羽

信息安全风险评估指南
1　范围
本指南规定了信息安全风险评估的工作流程、评估内容、评估方法和风险判断准则，适用于信息系统的使用单位进行自我风险评估，以及风险评估机构对信息系统进行独立的风险评估。
2　规范性引用文件
下列参考文档对于本标准的应用是必不可少的。有日期标识的参考标准，只有现行有效版本适用。没有日期标识的参考标准，最新版本适用。
BS 7799-1:2000 《信息技术——信息安全管理实施细则》
BS 7799-2:2002 《信息安全管理体系——规范及应用指南》
ISO/IEC TR 13335 《信息技术——IT安全管理指导方针》
3　术语和定义
3.1　资产
对单位具有价值的任何东西。
3.2　资产价值
资产的重要程度和敏感程度。资产价值是资产的属性，也是进行资产评估的具体内容。
3.3　威胁
可能对资产或单位造成损害的事故的潜在原因。威胁由多种属性来刻画：威胁的主体（威胁源）、能力、资源、动机、途径、可能性和后果。
3.4　脆弱性
资产或资产中能被威胁利用的弱点。
3.5　风险
由于系统存在的脆弱性，人为或自然的威胁导致安全事件发生的可能性及其造成的影响。它由安全事件发生的可能性及其造成的影响这两种指标来衡量。
3.6　残余风险
采取了安全防护措施，提高了防护能力后，仍然可能存在的风险。
3.7　风险评估
是对各方面风险进行辨识和分析的过程，是对威胁、影响、脆弱性及三者发生的可能性的评估。它是确认安全风险及其大小的过程。
3.8　保密性
使信息不泄露给未授权的个人、实体、过程或不使信息为其利用的特性。
3.9　完整性
保护信息及处理方法的准确性和完备性。
3.10　可用性
已授权实体一旦需要就可访问和使用的特性。
3.11　业务战略
一个单位通过信息技术手段实现的工作任务。一个单位的业务战略对信息系统和信息的依赖程度越高，风险评估的任务就越重要。
3.12　安全事件
如果威胁主体能够产生威胁，利用资产及其安全措施的脆弱性，那么实际产生危害的情况称之为安全事件。安全事件是进行威胁评估时所要考虑的内容。
3.13　安全需求
为保证单位的业务战略能够正常行使，在信息安全保障措施方面提出的要求。
3.14　安全措施
对付威胁，减少脆弱性，保护资产，限制意外事件的影响，检测、响应意外事件，促进灾难恢复和打击信息犯罪而实施的各种实践、规程和机制的总称。
信息安全风险评估
3.15　 自评估
是由被评估信息系统的拥有者依靠自身的力量，对其自身的信息系统进行的风险评估活动。
3.16　他评估
他评估则通常是被评估信息系统的拥有者的上级主管机关或业务主管机关发起的，旨在依据已经颁布的法规或标准进行的，具有强制意味的检查活动，是通过行政手段加强信息安全的重要措施。他评估也是经常提及的检查评估。
4　风险评估概述
4.1　风险评估的目的与意义
信息系统的安全风险，是指由于系统存在的脆弱性，人为或自然的威胁导致安全事件发生所造成的影响。信息安全风险评估，则是指依据国家有关信息安全技术标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程，它要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响，并根据安全事件发生的可能性和负面影响的程度来识别信息系统的安全风险。
信息安全风险评估是信息安全保障体系建立过程中的重要的评价方法和决策机制。没有准确及时的风险评估，将使得各个机构无法对其信息安全的状况做出准确的判断。
4.2　评估指南的目标读者
本指南适用于任何为评价自身信息及信息系统安全的各类机构，和为第三方提供评估服务的各类评估机构。
主要用以：识别信息系统中存在的风险；为确立信息系统安全等级提供参考；指导信息系统的安全管理；为执法部门监督提供参考；信息系统建设完成后，验收时用于参考；为信息系统业务发生变更时提供安全参考。
4.3　评估指南的文档组织
本指南分为两个部分：
第一部分：主体部分。主要介绍风险评估的定义、风险评估的模型以及风险评估的实施过程。对资产、威胁和脆弱性的识别进行了详细的描述，同时描述了风险评估在信息系统生命周期中的作用，以及风险评估的不同形式。本指南将原则性与可操作性进行有机的结合，既为风险评估的实施者、信息安全管理人员以及相关人员提供风险评估的依据，同时也力求避免评估过程的僵化。
第二部分：附录部分。包括信息安全风险评估的方法、工具介绍和一个实施案例。目的是使用户了解到风险评估方法的多样性和灵活性。

翔羽

AdVrypOr.doc (432.5 KB, 下载次数: 68)

2006-3-29 15:46 上传

点击文件名下载附件
[转帖]信息安全风险评估指南中华人民共和国国家标准征求意见稿

am2000

好东西

小米米

努力,努力,再努力!!!!!!!!!!!  

功夫花猫

挺好啊  

闪亮登网

支持一下  

浮光掠影

好啊，，不错、、、、