信息安全风险评估标准和试点工作情况介绍范红.pptVIP

国家信息安全风险评估工作 情况介绍 汇报内容 一、国家风险评估前期工作概述 二、风险评估标准编制情况介绍 三、风险评估标准内容简介 四、风险评估试点工作情况介绍 五、下一步的工作考虑 一、国家风险评估前期工作概述 一、国家风险评估前期工作概述 二、风险评估标准编制情况介绍 标准编制原则 三、风险评估标准内容简介 1、评估指南内容简介 2、管理指南内容简介 三、风险评估标准内容简介 1、评估指南内容简介 2、管理指南内容简介 1、风险评估指南内容简介 信息安全风险评估指南包括指南文本和附录两部分。其中指南文本由一个前言和8章内容组成，分为以下几部分： 1、概述部分； 2、模型与流程部分； 3、实施部分； 4、关联部分。 附录部分由二个附录组成。 风险评估的定义 术语及定义 资产 价值 威胁 脆弱性 风险 残余风险 风险评估 风险评估要素关系模型 风险计算模型 风险评估实施流程 风险评估的形式及角色运用 　评估指南根据评估的发起方的不同，将风险评估形式分为自评估和检查评估两大类。自评估是由被评估信息系统的拥有者发起的，并依靠自身的力量，对其自身的信息系统进行的风险评估活动。检查评估则通常是被评估信息系统的拥有者的上级主管机关或业务主管机关发起的，旨在依据已经颁布的法规或标准进行的，具有强制意味的检查活动，是通过行政手段加强信息安全的重要措施。信息安全风险评估服务机构可为自评估和检查评估提供风险评估的咨询、培训等服务以及提供风险评估的有关工具和手段。 　　在风险评估指南的文本部分，我们试图给出进行风险评估的一个路线图（实施流程），以及这个路线图中包括的若干关键点（关键步骤）和从一个关键点到另一个关键点的原则。这些也是参与编制工作的人员共同讨论的结果。这也体现了做为国家标准对于通用规律的把握。同时，为了避免过程的僵硬，以及体现评估中定量与定性的结合的特点，对于一些具体的实现细节指南进行了开放性地处理，放到了附录部分。即在附录中给出了当前较为常用的风险计算方法与工具以供选择，此部分将随着技术的发展而不断更新。 三、风险评估标准内容简介 1、评估指南内容简介 2、管理指南内容简介 2、风险管理指南内容简介 信息安全风险管理的目的和意义 信息安全风险管理的范围和对象 风险管理的内容和过程 三维结构关系 四、风险评估试点工作情况介绍 1、整体工作介绍 2、专家组的工作安排 2、专家组的工作安排 3、规划与设计阶段风险评估实施细则 　 五、下一步的工作考虑 * * SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 报告人:范红 二00五年五月 　　为了贯彻落实中办发2003[27]号文件的精神，国信办委托国家信息中心牵头，会同公安部,必威体育官网网址局,中科院和解放军等部门组织专家成立了风险评估课题组。课题组的宗旨是以信息安全风险为切入点,全面了解我国信息安全建设现状,发现问题并寻找应对措施。课题组在2003年下半年对北京,上海,广州和深圳四个地区的十几个行业的五十多家企事单位进行了广泛的调研与走访,完成了我国信息安全风险评估调查报告,同时,课题组对国内外信息安全风险评估工作进行了系统的理论梳理,所完成的信息安全风险评估研究报告做为2004年1月在北京召开全国第一次信息安全保障大会的传阅文件。在这次大会黄菊同志的讲话中要求大家重视风险评估工作,并将风险评估列为我国信息安全保障体系建设要抓的五项基础性工作之一。 　　 　　为了进一步推动信息安全风险评估工作，在2003年工作基础上，国信办决定2004年继续委托国家信息中心组织信息安全风险评估课题组下一阶段的工作。 　　为了将已有工作做深做实,并为下一步国家出台风险评估指导意见以及进行国家重要信息系统和基础网络的风险评估试点工作做准备，根据国信办领导的指示，课题组在2004年上半年启动了风险评估指南和风险管理指南等标准的编制工作。旨在通过这项工作更好地加强信息安全风险评估及管理，使其流程更加科学、规