风险评估概述

风险评估概述

信息安全风险评估概述

江苏省信息安全测评中心2009-11-25

风险评估概述

主要内容一、信息安全的概念二、风险评估概念及现状三、风险评估的工作形式四、信息系统生命周期各阶段的风险评估五、风险评估标准介绍六、风险评估的要素七、风险评估的分析原理八、风险评估的流程江苏省信息安全测评中心

风险评估概述

一、信息安全的概念广义：一个国家的信息化状态和信息技术体系不受威胁和侵害。狭义：信息资产(信息网络、信息系统及其运行软件、数据等)不因偶然或故意的原因被非授权泄露、更改、破坏，或被非法系统辨别、控制。

3

江苏省信息安全测评中心

风险评估概述

一、信息安全的概念保密性 Confidentiality确保信息仅对已授权的用户才可访问可控性真实性不可抵赖性可追溯性可用性 Availability确保授权用户能可靠及时地访问信息，不会被异常拒绝信息资产完整性 Integrity确保信息不被非法改动和销毁

信息资产的安全属性图

4

江苏省信息安全测评中心

风险评估概述

政府网站被篡改统计我国被篡改的网站中政府网站的数量与所占比例 2008年7-12月400 350 300 250 200 150 100 50 07月 8月 9月 10月 11月 12月 2.0% 0.0% 12.0%

347 254 8.4% 8.0% 6.5% 6.3% 163 214 6.4% 209

9.8%10.0% 8.0%

166

6.0% 4.0%

域名网站占.cn域名的2.3%5

江苏省信息安全测评中心

风险评估概述

主要内容一、信息安全的概念二、风险评估概念及现状三、风险评估的工作形式四、信息系统生命周期各阶段的风险评估五、风险评估标准介绍六、风险评估的要素七、风险评估的分析原理八、风险评估的流程江苏省信息安全测评中心

风险评估概述

二、风险评估概念及现状1.什么是风险评估 2.开展风险评估的意义 3.风险评估工作的推进过程

7

江苏省信息安全测评中心

风险评估概述

1.什么是风险评估信息安全风险评估是从风险管理角度，运用定性、定量的科学分析方法和手段，系统地分析信息和信息系统等资产所面临的人为的和自然的威胁，以及威胁事件一旦发生可能遭受的危害程度，有针对性地提出抵御威胁的安全等级防护对策和整改措施，从而最大限度地减少经济损失和负面影响。

8

江苏省信息安全测评中心

风险评估概述

2.开展风险评估的意义

是分析确定风险的过程是信息安全建设和管理的科学方法是信息安全建议的起点和基础是在倡导一种适度安全

9

江苏省信息安全测评中心

风险评估概述

3.风险评估工作的推进过程2003年，在《关于加强信息安全保障工作的意见》(中办发[2003]27号)中明确提出“要重视信息安全风险评估工作，对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估，综合考虑网络与信息系统的

重要性、涉密程度和面临的信息安全风险等因素，进行相应等级的安全建设和管理。”将开展信息安全风险评估工作作为我国信息安全保障水平的一项重要举措。

10

江苏省信息安全测评中心

风险评估概述

3.风险评估工作的推进过程为了贯彻落实27号文精神，2004年原国信办组织有关单位和专家编写了《信息安全风险评估指南》。 2005年，原国信办在北京、上海、云南、黑龙江和银行、电力、税务行业组织了信息安全风险评估试点。

11

江苏省信息安全测评中心

风险评估概述

3.风险评估工作的推进过程2006年，国家部委、各省信息办、8+2系统依据中办发[2006]5号文、9号文，要求在政府或重要行业系统中开展信息安全风险评估工作。

12

江苏省信息安全测评中心

风险评估概述

3.风险评估工作的推进过程

2006年筹建了省信息安全测评中心 2007年开展了我省的风险评估试点工作 2008年扩大试点工作范围，将其扩展到13个省辖市 2009年将在全省范围内全面实施风险评估工作 2010年基本覆盖全省基础信息网络和重要信息系统《江苏省信息安全风险评估管理办法(试行)》 2008年11月发布

13

江苏省信息安全测评中心

风险评估概述

江苏省电子信息产品质量监督检验研究院江苏省信息安全测评中心

第三方的法定质量检验机构中国合格评定国家认可委员会(CNAS)认可的检测实验室从事信息系统的安全风险评估、外部安全测试等工作。。。

风险评估概述

主要内容一、信息安全的概念二、风险评估概念及现状三、风险评估的工作形式四、信息系统生命周期各阶段的风险评估五、风险评估标准介绍六、风险评估的要素七、风险评估的分析原理八、风险评估的流程江苏省信息安全测评中心

风险评估概述

三、风险评估的工作形式

自评估信息系统拥有、运营或使用单位发起的对本单位信息系统进行的风险评估。

检查评估由被评估组织的上级主管机关或业务主管机关发起的，对信息系统及其管理进行的具有强制性的检查活动。

16

江苏省信息安全测评中心

风险评估概述

1.自评估的特点优点：

有利于保密有利于发挥行业和部门内的人员的业务特长有利于降低风险评估的费用有利于提高本单位的风险评估能力与信息安全知识

17

江苏省信息安全测评中心

风险评估概述

1.自评估的特点缺点：

不深入、不规范、不到位客观性、置信度较差不易被管理层所接受

18

江苏省信息安全测评中心

风险评估概述

2.自评估的改进办法

发挥专家的指导作用或委托专业评估组织参与部分工作由国家建立的测评认证机构或具有相应资质的安全企业实施评估活动

19

江苏省信息安全测评中心

风险评估概述

3.委托第三方

参与自评估的特点

拥有风险评估的专业人才经验比较丰富对信息技术风险的共性了解得比较深入过程规范、客观性好、置性度高

20

江苏省信息安全测评中心

风险评估概述

4.检查评估的特点检查评估的模式通常都是定期的、抽样的，旨在检查关键领域、或关键点的信息安全风险是否在可接受的范围内。由于检查评估是由被评估方的主管机关实施的，被检查单位自身不能对评估过程进行干预，因此，其评估结果较具权威性。

21

江苏省信息安全测评中心