信息安全风险评估国家标准介2课件.ppt

信息安全风险评估标准化工作情况介绍 前言 2003年7月以来，信息安全风险评估国家标准经过前期的调查与研究，开始了编制工作。两年多来，在国信办和有关主管部门具体指导下，在信安标委大力支持下，经过科研单位、企业的专家以及业内人士共同努力，协力工作，目前《信息安全风险评估指南》等标准的编制工作已基本完成。 现将有关情况简要汇报如下。 汇报内容 一、标准的编制过程 二、标准的主要内容 三、下一步工作的几点思考 汇报内容 一、标准的编制过程 二、标准的主要内容 三、下一步工作的几点思考 一、标准的编制过程 1、前期研究准备 2、标准草案编制 3、试点实践验证 一、标准的编制过程 1、前期研究准备 2、标准草案编制 3、试点实践验证 1、前期研究准备 一、标准的编制过程 1、前期研究准备 2、标准草案编制 3、试点实践验证 一、标准的制定过程 1、前期研究准备 2、标准草案编制 3、试点实践验证 3、试点实践验证 2005年9月16日，《信息安全风险评估指南》顺利通过由周仲义院士主持的第一次评审。 10月27日第二次专家评审会上，参评专家一致认为指南的操作性较强，对开展风险评估工作具有指导作用，并在国信办组织的风险评估试点中得到了进一步的实践验证和充实完善，达到国家标准送审稿的要求，同意通过评审。 12月14日,由安标委第五工作组主持召开了由沈昌祥院士为专家组组长的《信息安全风险评估指南》（送审稿）专家评审会,得到与会专家的一致肯定并通过评审。 汇报内容 一、标准的编制过程 二、标准的主要内容 三、下一步工作的几点思考 二、标准的主要内容 1、什么是风险评估 2、为什么要做风险评估 3、风险评估怎么做 二、标准的主要内容 1、什么是风险评估 2、为什么要做风险评估 3、风险评估怎么做 1、什么是风险评估 信息安全风险评估，是从风险管理角度，运用科学的方法和手段，系统地分析网络与信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施。并为防范和化解信息安全风险，或者将风险控制在可接受的水平，从而最大限度地保障网络和信息安全提供科学依据（国信办[2006]5号文件）。 风险评估要素关系图 风险评估要素关系图 风险评估要素关系图 风险评估要素关系图 风险评估要素关系图 风险评估要素关系图 风险评估要素关系图 风险评估要素关系图 风险评估要素关系图 风险评估要素关系图 风险评估要素关系图 风险评估要素关系图 风险评估要素关系图 风险评估要素关系图 风险评估要素关系图 风险评估要素关系图 风险评估要素关系图 风险评估要素关系图 风险评估要素关系图 风险评估要素关系图 风险评估要素关系图 风险评估要素关系图 风险评估要素关系图 风险评估要素关系图 二、标准的主要内容 1、什么是风险评估 2、为什么要做风险评估 3、风险评估怎么做 2、为什么要做风险评估 安全源于风险。 在信息化建设中，建设与运营的网络与信息系统由于可能存在的系统设计缺陷、隐含于软硬件设备的缺陷、系统集成时带来的缺陷，以及可能存在的某些管理薄弱环节，尤其当网络与信息系统中拥有极为重要的信息资产时，都将使得面临复杂环境的网络与信息系统潜在着若干不同程度的安全风险。 风险评估可以不断深入地发现系统建设中的安全隐患，采取或完善更加经济有效的安全保障措施，来消除安全建设中的盲目乐观或盲目恐惧，提出有针对性的从实际出发的解决方法，提高系统安全的科学管理水平，进而全面提升网络与信息系统的安全保障能力。 二、标准的主要内容 1、什么是风险评估 2、为什么要做风险评估 3、风险评估怎么做 3、风险评估怎么做 3、风险评估怎么做 3、风险评估怎么做 3、风险评估怎么做 3、风险评估怎么做 3、风险评估怎么做 3、风险评估怎么做 3、风险评估怎么做 3、风险评估怎么做 3、风险评估怎么做 3、风险评估怎么做 3、风险评估怎么做 3、风险评估怎么做 3、风险评估怎么做 实施步骤 (1) 风险评估的准备 (2) 资产识别 (3) 威胁识别 (4) 脆弱性识别 (5) 已有安全措施的确认 (6) 风险分析 (7) 风险评估文件记录 实施步骤 (1) 风险评估的准备 (2) 资产识别 (3) 威胁识别 (4) 脆弱性识别 (5) 已有安全措施的确认 (6) 风险分析 (7) 风险评估文件记录 (1)风险评估的准备 1）确定风险评估的目标； 2）确定风险