金融信息安全风险管理培训资料.ppt

信息安全风险评估
中国科学院研究生院
信息安全国家重点实验室
赵战生
2004年7月3日
内容概要
国信办下达的研究任务及研究进展
国际上风险评估的发展及现状
我国信息系统安全风险评估的现状和问题
什么是信息安全风险评估
为什么要进行风险评估
怎样进行风险评估
国信办下达的
研究任务
及研究进展
2003年7月22日,国务院信息化领导小组第三次会议专题讨论了《关于加强信息安全保障工作的意见〉,9月中央办公厅、国务院办公厅转发了《国家信息化领导小组关于加强信息安全保障工作的意见〉(2003[27]号文件)。文件要求采取必要措施进行信息安全风险的防范。
7月23日国信办安全组决定委托国家信息中心组建成立“信息安全风险评估课题组”,对信息安全风险评估工作的现状进行全面深入了解,提出我国开展信息安全风险评估的对策和办法,为下一步信息安全的建设和管理做准备。
国家信息中心根据国务院信息办安全组的要求,迅速成立了以国家信息中心公共技术服务部主任宁家骏为组长,包括崔书昆、曲成义、赵战生、吴亚非、左晓栋博士、范红博士和朱建勇博士组成,贾颖禾为国信办联络员的“信息安全风险评估”起草组, 开展信息安全风险评估筹备工作。
后根据工作需要又吸收杜虹、景乾元两位同志参加。
课题组在广东、上海、北京共访问了50多个单位,召开了5 次座谈会。
研究与起草阶段开了7次研讨会。
经过四个多月的努力,完成了:
信息安全风险评估调查报告
信息安全风险评估研究报告
关于信息安全风险评估工作的意见
三份稿约十万字
提交的《信息安全风险评估研究报告》在多次征求意见和修改后,作为全国信息安全保障工作会议下发的文件附件,在2004年1月9日发放给会议参加者。
研究报告结构
一、前言
二、信息系统安全风险评估的概念
三、风险评估的意义和作用
四、信息安全风险评估的目标和目的
五、信息安全风险评估的基本要素
六、风险评估对信息系统生命周期的支持
七、风险评估的一般工作流程
八、当前存在的风险评估理论和工具
九、我国信息系统安全风险评估的现状和问题
十、信息安全风险评估工作的原则
十一、等级保护、认证认可、风险管理、风险评估的关系
十二、自评估、强制性检查评估与委托评估
十三、信息系统安全风险评估的角色和责任
十四、信息安全风险评估的任务和措施
附件1、国际信息安全风险评估的发展和现状
附件2、风险评估工作流程详述
附件2、风险控制及工作流程
附件4、美国对认证认可概念的看法
附件5、美国信息系统安全认证认可工作概述
附件6、对美国OMB主任备忘录的总结
附件7、美国认证认可计划中相关标准和指南概况
2004年,课题组继续进行《关于信息安全风险评估工作的意见》的研究起草
2004年国信办安全组要求在已有工作基础上开展风险评估相关标准的研究制定,标准包括:
风险评估框架
风险评估指南
信息安全风险管理指南