logo资料库

信息安全风险评估指南(国家标准).doc

发布时间:2022-06-08 发布人:admin 分类:说明书 资料大小:0.73M 资料格式:doc 举报 版权申诉
第1页 / 共43页
第2页 / 共43页
第3页 / 共43页
第4页 / 共43页
第5页 / 共43页
第6页 / 共43页
第7页 / 共43页
第8页 / 共43页
资料共43页,剩余部分请下载后查看
    目 次
    前 言
    引  言
    信息安全风险评估指南
    1 范围
    2 规范性引用文件
    3 术语和定义
    4 风险评估框架及流程
    4.1 风险要素关系 
    4.2 风险分析原理
    4.3 实施流程
    5 风险评估实施
    5.1 风险评估的准备
    5.1.1 确定目标
    5.1.2 确定范围
    5.1.3 组建团队
    5.1.4 系统调研
    5.1.5 确定依据
    5.1.6 获得支持
    5.2 资产识别
    5.2.1 资产分类
    5.2.2 资产赋值
    5.2.2.4 资产重要性等级
    5.3 威胁识别
    5.3.1 威胁分类
    5.3.2 威胁赋值
    5.4 脆弱性识别
    5.5 已有安全措施确认
    5.6 风险分析
    5.7 风险评估文件记录
    6 信息系统生命周期各阶段的风险评估
    6.1 信息系统生命周期概述
    6.2 规划阶段的风险评估
    规划阶段风险评估的目的是识别系统的使命,以支撑系统安全需求及安全战略等。规划阶段的评估应能够描述信息
    6.3 设计阶段的风险评估
    6.4 实施阶段的风险评估
    6.5 运行维护阶段的风险评估
    6.6 废弃阶段的风险评估
    7 风险评估的工作形式
    7.1 自评估
    7.2 检查评估
    附录A
    A.1 使用矩阵法计算风险
    A.2 使用相乘法计算风险
    附录B
    B.1 风险评估与管理工具
    B.2 系统基础平台风险评估工具
    B.3 风险评估辅助工具
    ICS 35.040 L 80 中 华 人 民 共 和 国 国 家 标 准 GB/T ××××—×××× 信息安全技术 信息安全风险评估指南 Information security technology Risk assessment guidelines for information security (送审稿) ××××-××-××发布 ××××-××-××实施 国家质量 监督检验检疫 总局 发 布
    GB/T ××××—×××× 目 次 目次 ................................................................................... I 前言 .................................................................................. II 引言 .................................................................................. II 1 范围 ................................................................................. 2 2 规范性引用文件 ....................................................................... 2 3 术语和定义 ........................................................................... 2 4 风险评估框架及流程 ................................................................... 2 4.1 风险要素关系 ....................................................................... 2 4.2 风险分析原理 ....................................................................... 2 4.3 实施流程 ........................................................................... 2 5 风险评估实施 ......................................................................... 2 5.1 风险评估的准备 ..................................................................... 2 5.2 资产识别 ........................................................................... 2 5.3 威胁识别 ........................................................................... 2 5.4 脆弱性识别 ......................................................................... 2 5.5 已有安全措施确认 ................................................................... 2 5.6 风险分析 ........................................................................... 2 5.7 风险评估文件记录 ................................................................... 2 6 信息系统生命周期各阶段的风险评估 ..................................................... 2 6.1 信息系统生命周期概述 ............................................................... 2 6.2 规划阶段的风险评估 ................................................................. 2 6.3 设计阶段的风险评估 ................................................................. 2 6.4 实施阶段的风险评估 ................................................................. 2 6.5 运行维护阶段的风险评估 ............................................................. 2 6.6 废弃阶段的风险评估 ................................................................. 2 7 风险评估的工作形式 ................................................................... 2 7.1 自评估 ............................................................................. 2 7.2 检查评估 ........................................................................... 2 附录 A ..................................................................................2 A.1 使用矩阵法计算风险 ................................................................. 2 A.2 使用相乘法计算风险 ................................................................. 2 附录 B ..................................................................................2 B.1 风险评估与管理工具 ................................................................. 2 B.2 系统基础平台风险评估工具 ........................................................... 2 B.3 风险评估辅助工具 ................................................................... 2 I
    前 言 GB/T ××××—×××× 为指导和规范针对信息系统及其管理的信息安全风险评估工作,特制定本标准。 本标准定义了风险评估的基本概念、原理及实施流程;对资产、威胁和脆弱性识别要求进行了详细 描述;提出了风险评估在信息系统生命周期不同阶段的实施要点,以及风险评估的工作形式。 本标准附录 A 是规范性附录,附录 B 是资料性附录。 本标准由国务院信息化工作办公室提出。 本标准由全国信息安全标准化技术委员会归口。 本标准主要起草单位:国家信息中心、北京信息安全测评中心、上海市信息安全测评认证中心、解 放军测评认证中心、国家保密技术研究所、信息安全国家重点实验室。 本标准主要起草人:范红、吴亚非、应力、王宁。 II
    GB/T ××××—×××× 引 言 随着政府部门、金融机构、企事业单位、商业组织等对信息系统依赖程度的日益增强,信息安全问 题受到普遍关注。采用风险管理的理念去识别安全风险,解决信息安全问题得到了广泛的认识和应用。 风险评估通过对信息系统的资产、面临威胁、存在的脆弱性、采用的安全控制措施等进行分析,从 技术和管理两个层面综合判断信息系统面临的风险。 风险评估是建立信息安全保障机制中的一种科学方法。对信息系统而言,存在风险并不意味着不安 全,只要风险控制在可接受的范围内,就可以达到系统稳定运行的目的。风险评估的结果为保障信息系 统的安全建设、稳定运行提供了技术参考。在规划与设计阶段,风险评估的结果是安全需求的来源,为 信息系统的安全建设提供依据;在系统运行维护阶段,由于信息系统的动态性,需要定期地进行风险评 估,以了解、掌握系统安全状态,是保证系统安全的动态措施。同时,风险评估是信息系统安全等级确 定及建设过程中一种不可或缺的技术手段。 信息系统的所有者可使用本标准为其选择安全措施,实施信息系统保护提供技术支持,依据本标准 中提出的安全风险理念选择技术与管理控制措施;信息系统的所有者还可以基于本标准的评估结果来决 定信息系统的安全措施是否满足安全需求,是否将重要资产的风险降低到可接受的范围内;并依据本标 准进行持续性评估,以不断识别信息系统面临的风险。风险评估的实施者可以依据本标准进行风险评估, 依据本标准的判定准则,做出科学的判断。信息系统的管理机构可依据本标准对信息系统及其管理进行 安全检查,推动行业或地区信息安全风险管理的实施。 本标准条款中所指的“风险评估”,其含义均为“信息安全风险评估”。 III
    GB/T ××××—×××× 信息安全风险评估指南 1 范围 本标准提出了风险评估的要素、实施流程、评估内容、评估方法及其在信息系统生命周期不同阶段 的实施要点,适用于组织开展的风险评估工作。 2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注明日期的引用文件,其随后所 有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方 研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。 GB/T 19716-2005 信息技术 信息安全管理实用规则 GB/T 19715.1-2005 信息技术 信息技术安全管理指南 第 1 部分:信息技术安全概念和模型 GB 17859-1999 计算机信息系统安全保护等级划分准则 GB/T9361-2000 计算机场地安全要求 GB/T 5271.8-2001 信息技术 词汇 第 8 部分:安全 3 术语和定义 资产 asset 对组织具有价值的信息或资源,是安全策略保护的对象。 资产价值 asset value 资产的重要程度或敏感程度的表征。资产价值是资产的属性,也是进行资产识别的主要内容。 3.1 3.2 3.3 可用性 availability 1
    数据或资源的特性,被授权实体按要求能访问和使用数据或资源。 GB/T ××××—×××× 3.4 3.5 3.6 业务战略 business strategy 组织为实现其发展目标而制定的一组规则或要求。 机密性 confidentiality 数据所具有的特性,即表示数据所达到的未提供或未泄露给未授权的个人、过程或其他实体的程度。 信息安全风险 information security risk 人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造 成的影响。 3.7 信息安全风险评估 information security risk assessment 依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的机密性、完整性 和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可 能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。 3.8 信息系统 information system 由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行 采集、加工、存储、传输、检索等处理的人机系统。 典型的信息系统由三部分组成:硬件系统(计算机硬件系统和网络硬件系统);系统软件(计算机 系统软件和网络系统软件);应用软件(包括由其处理、存储的信息)。 3.9 检查评估 inspection assessment 由被评估组织的上级主管机关或业务主管机关发起的,依据国家有关法规与标准,对信息系统及其 管理进行的具有强制性的检查活动。 2
    GB/T ××××—×××× 3.10 完整性 integrity 保证信息及信息系统不会被非授权更改或破坏的特性。包括数据完整性和系统完整性。 3.10.1 数据完整性 data integrity 数据所具有的特性,即无论数据形式作何变化,数据的准确性和一致性均保持不变。 3.10.2 系统完整性 system integrity 在防止非授权用户修改或使用资源和防止授权用户不正确地修改或使用资源的情况下,信息系统能 履行其操作目的的品质。 3.11 组织 organization 由作用不同的个体为实施共同的业务目标而建立的结构。组织的特性在于为完成目标而分工、合作; 一个单位是一个组织,某个业务部门也可以是一个组织。 3.12 残余风险 residual risk 采取了安全措施后,信息系统仍然可能存在的风险。 3.13 自评估 self-assessment 由组织自身发起,参照国家有关法规与标准,对信息系统及其管理进行的风险评估活动。 3.14 安全事件 security incident 指系统、服务或网络的一种可识别状态的发生,它可能是对信息安全策略的违反或防护措施的失效, 或未预知的不安全状况。 3.15 3
    安全措施 security measure 保护资产、抵御威胁、减少脆弱性、降低安全事件的影响,以及打击信息犯罪而实施的各种实践、 GB/T ××××—×××× 规程和机制的总称。 3.16 安全需求 security requirement 为保证组织业务战略的正常运作而在安全措施方面提出的要求。 3.17 威胁 threat 可能导致对系统或组织危害的不希望事故潜在起因。 3.18 脆弱性 vulnerability 可能被威胁所利用的资产或若干资产的弱点。 4 风险评估框架及流程 本章提出了风险评估的要素关系、分析原理及实施流程。 4.1 风险要素关系 风险评估中各要素的关系如图 1 所示: 4
    分享到:
    收藏

    相关推荐

    资料库

    课程资源

    共收录17145份资料,累计13个分类,关注成员有19位,主要包括:PHP,网络管理,网页制作,Java,.Net,数据库,3G/移动开发,C/C++,游戏开发,嵌入式,讲义,软件测试,专业指导

    热门标签

    PHP 网络管理 网页制作 Java .Net 数据库 3G/移动开发 C/C++ 游戏开发 嵌入式 讲义 软件测试 专业指导

    最新资料