資源描述:
《信息安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)化工作情況介紹》由會(huì)員上傳分享�����,免費(fèi)在線閱讀�����,更多相關(guān)內(nèi)容在教育資源-天天文庫(kù)���。
1�、信息安全風(fēng)險(xiǎn)評(píng)估�標(biāo)準(zhǔn)化工作情況介紹國(guó)家信息中心 信息安全研究與服務(wù)中心 范紅昆明2006年3月1前言2003年7月以來�,信息安全風(fēng)險(xiǎn)評(píng)估國(guó)家標(biāo)準(zhǔn)經(jīng)過前期的調(diào)查與研究,開始了編制工作���。兩年多來����,在國(guó)信辦和有關(guān)主管部門具體指導(dǎo)下��,在信安標(biāo)委大力支持下�����,經(jīng)過科研單位、企業(yè)的專家以及業(yè)內(nèi)人士共同努力����,協(xié)力工作���,目前《信息安全風(fēng)險(xiǎn)評(píng)估指南》等標(biāo)準(zhǔn)的編制工作已基本完成?,F(xiàn)將有關(guān)情況簡(jiǎn)要匯報(bào)如下�。2匯報(bào)內(nèi)容一、標(biāo)準(zhǔn)的編制過程二��、標(biāo)準(zhǔn)的主要內(nèi)容三���、下一步工作的幾點(diǎn)思考3匯報(bào)內(nèi)容一����、標(biāo)準(zhǔn)的編制過程二���、標(biāo)準(zhǔn)的主要內(nèi)容三�、下一步工作的幾點(diǎn)思
2�、考4一�����、標(biāo)準(zhǔn)的編制過程1�、前期研究準(zhǔn)備2��、標(biāo)準(zhǔn)草案編制3���、試點(diǎn)實(shí)踐驗(yàn)證5一�、標(biāo)準(zhǔn)的編制過程1���、前期研究準(zhǔn)備2����、標(biāo)準(zhǔn)草案編制3��、試點(diǎn)實(shí)踐驗(yàn)證61��、前期研究準(zhǔn)備2003年7月,中辦發(fā)[2003]27號(hào)文件對(duì)開展信息安全風(fēng)險(xiǎn)評(píng)估工作提出了明確的要求�。國(guó)信辦委托國(guó)家信息中心牽頭,成立了國(guó)家信息安全風(fēng)險(xiǎn)評(píng)估課題組����,對(duì)信息安全風(fēng)險(xiǎn)評(píng)估相關(guān)工作展開調(diào)查研究���。課題組利用半年多的時(shí)間,對(duì)我國(guó)信息安全風(fēng)險(xiǎn)評(píng)估現(xiàn)狀進(jìn)行了深入調(diào)查��,掌握了第一手情況��;對(duì)國(guó)內(nèi)外相關(guān)領(lǐng)域的理論進(jìn)行了學(xué)習(xí)�����、分析和研究����,查閱了大量的相關(guān)資料���,基本了解了此領(lǐng)域的國(guó)際前沿動(dòng)
3���、態(tài)。這些都為標(biāo)準(zhǔn)編制工作奠定了良好的基礎(chǔ)����。7統(tǒng)一的風(fēng)險(xiǎn)評(píng)估技術(shù)標(biāo)準(zhǔn)是規(guī)范開展信息安全風(fēng)險(xiǎn)評(píng)估工作的必備條件。落實(shí)中辦發(fā)27號(hào)文件��、全面推進(jìn)我國(guó)的信息安全風(fēng)險(xiǎn)評(píng)估工作,首先就必須解決我國(guó)缺乏統(tǒng)一的風(fēng)險(xiǎn)評(píng)估技術(shù)標(biāo)準(zhǔn)的問題���。為此����,國(guó)信辦領(lǐng)導(dǎo)根據(jù)專家們的建議����,決定著手開展信息安全風(fēng)險(xiǎn)評(píng)估國(guó)家標(biāo)準(zhǔn)的編制工作及相關(guān)實(shí)踐活動(dòng)。旨在通過這項(xiàng)工作更好地加強(qiáng)國(guó)家基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估及管理工作��,使其流程更加科學(xué)�、統(tǒng)一、規(guī)范���、有效�����。8一��、標(biāo)準(zhǔn)的編制過程1�、前期研究準(zhǔn)備2、標(biāo)準(zhǔn)草案編制3���、試點(diǎn)實(shí)踐驗(yàn)證9根據(jù)國(guó)信辦的指示和信安標(biāo)委的具體
4�����、要求�����,國(guó)家信息中心組織北京信息安全測(cè)評(píng)中心�、上海市測(cè)評(píng)認(rèn)證中心����、國(guó)家保密技術(shù)研究所�、公安部三所以及BJCA、上海三零衛(wèi)士��、聯(lián)想��、天融信����、啟明星辰、綠盟、科飛�����、凝瑞等國(guó)內(nèi)十幾家企事業(yè)單位于2004年3月29日正式啟動(dòng)標(biāo)準(zhǔn)草案的編制工作��。起草組在前期準(zhǔn)備工作的基礎(chǔ)上����,經(jīng)過多次研究探討,確定了編制標(biāo)準(zhǔn)應(yīng)遵循的原則:2��、標(biāo)準(zhǔn)草案編制101���、符合我國(guó)現(xiàn)行的信息安全有關(guān)法律法規(guī)的要求�,認(rèn)真貫徹落實(shí)27號(hào)文件關(guān)于加強(qiáng)信息安全風(fēng)險(xiǎn)評(píng)估工作的精神����;2、立足于我國(guó)信息化建設(shè)實(shí)踐����,積極借鑒國(guó)際先進(jìn)標(biāo)準(zhǔn)的技術(shù),提出符合我國(guó)基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)
5���、工程建設(shè)需求的風(fēng)險(xiǎn)評(píng)估規(guī)范����;3、針對(duì)網(wǎng)絡(luò)與信息系統(tǒng)的全生命周期����,制訂適應(yīng)不同階段特點(diǎn)和要求的風(fēng)險(xiǎn)評(píng)估實(shí)施方法;4���、積極吸收信息安全有關(guān)主管部門和單位在等級(jí)保護(hù)��、保密檢查和產(chǎn)品測(cè)評(píng)等工作的經(jīng)驗(yàn)與成果�����;5�����、標(biāo)準(zhǔn)文本體系結(jié)構(gòu)科學(xué)合理,表述清晰����,具有可實(shí)現(xiàn)性和可操作性。11在標(biāo)準(zhǔn)編制的過程中,標(biāo)準(zhǔn)起草組多次與相關(guān)主管部門所屬機(jī)構(gòu)的專家代表就技術(shù)標(biāo)準(zhǔn)有關(guān)主體內(nèi)容進(jìn)行會(huì)商�;向相關(guān)單位發(fā)放標(biāo)準(zhǔn)文本,通過電子郵件等形式廣泛征求業(yè)界意見����;召開標(biāo)準(zhǔn)討論會(huì)議三十幾次,共收集近100條修改意見�。起草組逐一對(duì)修改意見進(jìn)行研究,在充分吸納合理成份的
6���、基礎(chǔ)上����,對(duì)《信息安全風(fēng)險(xiǎn)評(píng)估指南》等標(biāo)準(zhǔn)進(jìn)行了較大幅度的修改���,使標(biāo)準(zhǔn)的體系結(jié)構(gòu)更趨完善���、合理。12一��、標(biāo)準(zhǔn)的制定過程1���、前期研究準(zhǔn)備2��、標(biāo)準(zhǔn)草案編制3�、試點(diǎn)實(shí)踐驗(yàn)證133、試點(diǎn)實(shí)踐驗(yàn)證2005年2月,根據(jù)國(guó)信辦[2005]4號(hào)和5號(hào)文件�,關(guān)于在銀行、稅務(wù)��、電力等部門和電子政務(wù)外網(wǎng)���,以及北京��、上海�、黑龍江�����、云南等省市���,開展信息安全風(fēng)險(xiǎn)評(píng)估試點(diǎn)工作的要求����,標(biāo)準(zhǔn)起草組配合風(fēng)險(xiǎn)評(píng)估試點(diǎn)工作專家組開展了以下工作:--為各試點(diǎn)單位提供標(biāo)準(zhǔn)草案文本和相關(guān)說明����;--在試點(diǎn)準(zhǔn)備階段與各試點(diǎn)單位的技術(shù)骨干進(jìn)行標(biāo)準(zhǔn)技術(shù)交流;--根據(jù)標(biāo)準(zhǔn)草案文
7�、本涉及的關(guān)鍵技術(shù),起草組成員選擇試點(diǎn)環(huán)節(jié)參與實(shí)際試點(diǎn)���;--在試點(diǎn)過程中���,先后幾次召開標(biāo)準(zhǔn)研討會(huì),征求各單位對(duì)標(biāo)準(zhǔn)的意見與建議�。14整個(gè)試點(diǎn)工作歷時(shí)7個(gè)月,各試點(diǎn)單位對(duì)標(biāo)準(zhǔn)草案先后提出40多條補(bǔ)充修改意見����,標(biāo)準(zhǔn)起草組根據(jù)試點(diǎn)結(jié)果先后進(jìn)行了三次較大規(guī)模的修改。主要內(nèi)容包括:--細(xì)化了資產(chǎn)的分類方法��、脆弱性的識(shí)別要求���,修改并細(xì)化了風(fēng)險(xiǎn)計(jì)算的方法�;--對(duì)自評(píng)估���、檢查評(píng)估不同評(píng)估形式的內(nèi)容與實(shí)施的重點(diǎn)進(jìn)行了區(qū)分�����;--對(duì)風(fēng)險(xiǎn)評(píng)估的工具進(jìn)行了梳理和區(qū)分����,形成了現(xiàn)在的幾種類型;--細(xì)化了生命周期不同階段風(fēng)險(xiǎn)評(píng)估的主要內(nèi)容�����。試點(diǎn)實(shí)踐證明�,
8、試行標(biāo)準(zhǔn)基本滿足各試點(diǎn)單位評(píng)估工作的需求�����。152005年9月16日�����,《信息安全風(fēng)險(xiǎn)評(píng)估指南》順利通過由周仲義院士主持的第一次評(píng)審��。10月27日第二次專家評(píng)審會(huì)上����,參評(píng)專家一致認(rèn)為指南的操作性較強(qiáng),對(duì)開展風(fēng)險(xiǎn)評(píng)估工作具有指導(dǎo)作用,并在國(guó)信辦組織的風(fēng)險(xiǎn)評(píng)估試點(diǎn)中得到了進(jìn)一步的實(shí)踐驗(yàn)證和充實(shí)完善���,達(dá)到國(guó)家標(biāo)準(zhǔn)送審稿的要求,
