国家标准《信息安全风险评估实施指南》送审稿编制说明.docx

国家标准信息安全风险评估实施指南（送审稿）编制说明1、工作简况1.1 任务来源2009年12月，信息安全标准化技术委员会正式卜达任务书，将信息安全风险评估实施 指南作为2010年度的国家标准制定项目，定性为国家推荐性标准，由国家信息中心承担, 标准制定任务正式启动。国家信息安全标准化技术委员会已下拨标准研制经费，并签署任务合同书。1.2 起草单位和人员组成本项目由国家信息中心负责进行标准的起草，北京信息安全测评中心、国家保密技术研 究所、上海市信息安全测评认证中心、沈阳东软系统集成工程有限公司、国和信诚（北京） 信息安全有限公司等单位参与起草。1. 3编制过程（1）标准草案编制阶段标准草案编制工作于201（）年1月启动，通过前期准备阶段、提纲编制阶段、任务细化阶 段、整合完成阶段，在全面了解我国信息安全风险评估实践状况的基础上，经过反复修改完 善，于2010年6月形成信息安全风险评估实施指南征求意见稿。（2）意见征求阶段2010年7月-10月，将信息安全风险评估实施指南征求意见稿向专家与一些一线信息 安全服务机构（公司）征求意见。根据各试点单位的反馈意见，标准编制小组组织了两次大规模的修改过程；同时向相关 单位以发放了标准文本，征求对标准的意见，根据修改意见进行了修改。（3）修改完善阶段2010年11月、12月，国家信息中心组织编写组成员对征求来的各意见进行讨论、采纳、 修改，并于2011年3月正式形成信息安全风险评估实施指南标准草案修改稿。（4）专家评审阶段2011年3月、6月，国家信息中心委托信安标委聘请专家，对信息安全风险评估实施指 南标准草案修改稿进行专家评审，收到专家意见多条，并通过了专家评审。（5） WG7成员单位决议阶段2011年8月5日，安标委呵7组组织全体成员单位对国家信息中心承担的信息安全风险 评估实施指南标准草案稿进行全体投票决议，最后该标准草案稿高票获得通过，获准向社 会公布，以进步广泛征求社会各界的意见与建议。截止2011年8月，编写组共收到修改意见90多条，其中采纳的接近70条，对于未采纳的 意见，标准编制小组在意见处理表中给予了明确说明。（6）部门征求意见阶段2011年9月至10月，安标委秘书处就本标准征求意见稿在各相关主管部门范围内征求意 见。共收到来自公安部、国家密码局和国家保密局的6条意见。标准编制组对收集到的意见 进行了汇总处理，修改完善后形成标准送审稿。2、编制原则和主要内容2.1编制原则1）立足于我国当前信息化建设现状，对我国信息安全风险评估方法进行总结、归纳、简化 与提升，注重吸纳国外相关领域的先进成果并为我所用，使其本土化。2）风险评估实施指南是对GB/T 20984-2007信息技术信息安全风险评估规范标准的 细化，具体对各阶段的评估工作进行细化。3）可操作性和实用性。标准是对实际工作的总结与提升，但最终还要用于实践，要经得起 实践的检验。因此要可用，可操作。4）注重吸收主管部门在评估方面已有的经验与成果。如等级保护、安全检查和产品测评等。5）科学性与前瞻性。评估标准中要体现科学性。所提供的方法要可信，要具有引领的作用。2. 2主要内容本课题主要集中研究风险评估实施过程中的若干关键技术与方法，研究内容主要有：1）课题定位关系研究确定本课题与GB/T 20984-2007信息技术信息安全风险评估规范关系，结合国家信 息中心正在编写的信息安全风险管理规范标准草案，确定本课题在风险管理体系上的定 位，确定此课题的研究重点方向。2）信息系统风险评估实施的参考标准研究该工作主要分析、研究、归纳适合我国风险评估实施工作中需要参考、借鉴的国内外标 准。主要包括：信息安全风险管理规范草案、NIST SP 800-26Security Self-Assessment Guide for Information Technology Systems、NIST SP800-30 Risk Management Guide for Information Technology Systems、NIST SP800-53 Recommended Security Controls for Federal Information Systems标准等。3）信息系统风险评估实施的流程研究该工作主要依据风险评估国家标准中提出的四个实施阶段进行具体工作研究，结合评估 试点工作和行业案例的实践情况，提出适合国内各行业进行实际评估操作的工作流程细则， 包括：各个阶段工作的具体内容、具体工作方法、实施技术、操作工具、实施案例等。4）信息系统风险评估实施的安全技术研究该工作主要对评估实施工作中用到的安全分析（资产、威胁、脆弱性等）、检测技术进 行研究，通过参考、借鉴国内外相关实际工作情况，落实评估工作中可使用技术、工具，规 范评估各阶段文件内容，以及评估报告内容。5）信息系统风险评估实施的安全管理研究该工作主要对评估实施工作中用到的安全管理技术进行研究，通过参考、借鉴国内外相 关安全管理标准，形成我国各行业单位进行实际评估工作的安全管理要求。6）信息系统风险评估实施中的质量管理研究该工作主要对评估实施过程中的项目管理工作进行质量监督、管理方面的研究，通过参 考、借鉴项目管理与质品管理的各种技术方法，形成适合我国各行业单位进行风险评估工作 的质量管理规范。3 .主要试验或验证的分析、综述报告，预期的经济效果本课题较好的完成了项目任务书中的各项研究任务，基本形成了一套逻辑严谨、技术先 进、方法科学、具有普遍实施指导意义的信息系统风险评估技术方法。该方法通过多家信息 安全服务机构、信息安全服务公司等单位的实际应用，结果证明可将本课题的研究成果用于 指导用户进行信息安全风险评估工作，并可保证风险评估实施的过程及方法基本满足GB/T 20984-2007信息技术信息安全风险评估规范的要求，达到了课题研究的目标。本课题成果是在分析研究国内外风险评估相关标准和规范、升华2005年“我国重要信息 系统和关键基础设施风险评估试点”经验以及国家信息中心、北京信息安全测评中心等单位 多年来从事风险评估和等级测评积累的经验方法基础上取得的，本课题成果操作性强，应用 面广。20082010年，国家信息中心利用本成果对国家粮食局政府网站、国务院扶贫办政府网 站、北京医药集团、国家粮食局政府网站、国务院扶贫办政府网站、湖南国税、江苏国税、 新疆国税等12个省级国税信息系统、辽宁地税、河北地税省级地税信息系统、国家电子政 务外网、山西省电了政务外网等单位的近百个信息系统进行了风险评估，为上述单位的信 息安全保障工作提供了有力支持:。20082010年，北京信息安全测评中心利用本成果对北京市科委、北京市规委、中国人 民银行清算总中心、北京市地税局综合信息系统、北京市市财政局财政信息资源系统、北京 市市级城市管理信息平台、北京市小客车增长调控管理信息系统、北京城市公安安全风险评 估与控制信息管理系统等单位的22个信息系统进行了风险评估，12个信息系统进行等级测 评，得到了用户单位的广泛认可。20082010年间，沈阳东软系统集成工程有限公司利用本成果对：上海市共青团委信息 安全评估服务、中国联通辽宁省分公司增值业务网络安全评估、乐山市商业银行重要信息系 统安全评估、中电投宁夏能源铝业集团公司网络安全评估、山东航空股份有限公司信息安全 服务、华侨城信息安全体系梳理建设等项目，同样得到用户的广泛认可。2007年12月-2010年12月，北京数字证书认证中心、天融信、上海三零卫士信息安全有 限公司、神州泰岳软件股份有限公司、太极计算机股份有限公司利用本课题成果对北京市20个重要信息系统进行了检查评估，取得了很好的效果，对保障这些系统在2008年奥运期间正 常运行发挥了重要作用。4 .采用国际标准或国外先进标准的目的、意义和一致 性程度，我国标准与被采用标准的主要差异及其原因；以及 与国际、国外同类标准水平的对比情况。暂无相关内容。5 .与我国有关的现行法律、法规和相关强制性标准的 关系。遵从GB/T 20984-2007信息安全技术信息安全风险评估规范，是对该标准的细化, 并参考了 GB/T22239-2008信息安全技术信息系统安全等级保护基本要求、 GB/T22240-2008信息安全技术信息系统安全保护等级定级指南标准。6 .重大分歧意见的处理经过和依据参见信息安全风险评估实施指南专家意见修改明细表O7 .标准作为强制性标准或推荐性标准、指导性技术文 件的建议及其理由；密级确定的建议及其理由本指导性技术文件建议作为国家推荐性标准，无密级要求。8 .贯彻标准的要求和措施建议以规范化的评估流程、标准的阶段性工作内容与工作方法指导各类信息安全组织从事信 息安全风险评估工作，科学、客观的得到组织当前的信息安全风险状况。9 .其他主要内容的解释和其他需要说明的事项。如系列标准或划分部分制定的标准的编号建议，参考文献目录等本标准草案编写时主要的参考文献有：1 GB/T 9361-2000计算机场地安全要求2 GB 17859-1999计算机信息系统安全保护等级划分准则3 GB/T22239-2008信息安全技术信息系统安全等级保护基本要求4 GB/T 18336-2008信息技术安全技术信息技术安全性评估准则5 GB/T22080-2008信息技术安全技术信息安全管理体系要求6 GB/T22081-2008信息技术安全技术信息安全管理实用规则7 NIST Special Publication 800-26： Security Self-Assessment Guide for Information Technology Systems8 NIST Special Publication 800-30： Risk Management Guide for Information TechnologySystems9 Requirements and Recommendations for CVE Compatibility, December 6, 2007 Document version: 1.110 CWE-2000: Comprehensive CWE Dictionary (1.3)L 11 J CPE Names Version 2.2 of the specification was released on March 11th, 2009.12 Information Security Automation Program Overview (vl beta)13 Security Content Automation Protocol (v 1 beta)14 ISAP/SCAPCommon Acronyms15 ISAP/SCAPGlossary