信息安全风险资料说课讲解.ppt

《信息安全风险资料说课讲解.ppt》由会员分享，可在线阅读，更多相关《信息安全风险资料说课讲解.ppt（61页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、本节内容本节内容(nirng)(nirng)信息安全风险的引入信息安全风险的引入1信息安全风险的相关概念信息安全风险的相关概念2信息信息安全风险的基本要素安全风险的基本要素3信息安全风险管理的实施信息安全风险管理的实施 4信息安全风险评估现状信息安全风险评估现状 5第一页，共61页。第三章第三章 信息安全风险管理信息安全风险管理1 1u风险是事件风险是事件(shjin)(shjin)未来可能结果发生的不确定性未来可能结果发生的不确定性 u风险风险(fngxin)(fngxin)是损失发生的不确定性是损失发生的不确定性 u风险风险(fngxin)(fngxin)是指可能发生损失的损害程度的大小是

2、指可能发生损失的损害程度的大小u风险是指损失的风险是指损失的大小大小和发生的和发生的可能性可能性 u风险是由风险构成要素相互作用的结果风险是由风险构成要素相互作用的结果 1、信息安全风险的引入、信息安全风险的引入第二页，共61页。第三章第三章 信息安全风险管理信息安全风险管理1 1 2007 2007年年4 4月月2222日至日至2727日，国际标准化组织技术管理日，国际标准化组织技术管理(gunl)(gunl)局风险管理局风险管理(gunl)(gunl)工作组（工作组（ISO/TMB/WGRiskManagementISO/TMB/WGRiskManagement）在加拿大渥太华召开了第四次

3、工作组会议。在加拿大渥太华召开了第四次工作组会议。“风险风险(fngxin)”：不确定性对目标的影响：不确定性对目标的影响（effect of uncertainty on objectives）。）。该定义克服该定义克服(kf)(kf)了其他国家对了其他国家对“风险风险”定义过于狭窄、不准确等弊定义过于狭窄、不准确等弊端，直指风险的本质，准确、全面、易于理解、便于应用。端，直指风险的本质，准确、全面、易于理解、便于应用。1 1、信息安全风险的引入、信息安全风险的引入、信息安全风险的引入、信息安全风险的引入第三页，共61页。第三章第三章 信息安全风险管理信息安全风险管理1 11、信息安全风险、

4、信息安全风险(fngxin)的引入的引入信信息息安安全全的的不不确确定定性性第四页，共61页。第三章第三章 信息安全风险管理信息安全风险管理1 11 1、信息安全风险、信息安全风险、信息安全风险、信息安全风险(fngxin)(fngxin)的引入的引入的引入的引入信信息息安安全全的的不不确确定定性性第五页，共61页。1、信息安全风险、信息安全风险(fngxin)的引入的引入绝对绝对(ju(jududu)安全安全冗余的安全措施；冗余的安全措施；低效的安全投资低效的安全投资(tu z)(tu z)；紧张的安全管理人员；紧张的安全管理人员；对员工的不信任感。对员工的不信任感。第三章第三章 信息安全风

5、险管理信息安全风险管理1 1第六页，共61页。？如何确切掌握网络和信息系统的安全程度；？如何确切掌握网络和信息系统的安全程度；？安全威胁来自？安全威胁来自(li z)(li z)何方；何方；？加强信息安全保障工作应采取哪些措施，要投入多？加强信息安全保障工作应采取哪些措施，要投入多少人力、财力和物力；少人力、财力和物力；？已采取的信息安全措施是否有效。？已采取的信息安全措施是否有效。适度适度(sh(shd d)安全安全第三章第三章 信息安全风险管理信息安全风险管理1 11 1、信息安全风险、信息安全风险、信息安全风险、信息安全风险(fngxin)(fngxin)的引入的引入的引入的引入第七页，

6、共61页。第三章第三章 信息安全风险管理信息安全风险管理1 11 1、信息安全风险、信息安全风险、信息安全风险、信息安全风险(fngxin)(fngxin)的引入的引入的引入的引入安全是相对的，风险是绝对的；安全是相对的，风险是绝对的；安全强度与安全代价安全强度与安全代价(diji)(diji)寻求平寻求平衡点；衡点；安全与开放寻求平衡点。安全与开放寻求平衡点。第八页，共61页。1、信息安全风险、信息安全风险(fngxin)的引入的引入 以风险评估为安全建设的出发点。它的重要意义就以风险评估为安全建设的出发点。它的重要意义就在于改变传统的以技术驱动为导向的安全体系结构设计在于改变传统的以技术驱

7、动为导向的安全体系结构设计及详细安全方案制定，采取成本效益平衡及详细安全方案制定，采取成本效益平衡(pnghng)(pnghng)的原则。的原则。第三章第三章 信息安全风险管理信息安全风险管理1 1第九页，共61页。2、信息安全风险的相关、信息安全风险的相关(xinggun)概念概念第三章第三章 信息安全风险管理信息安全风险管理1 1“风险风险”：不确定性对目标：不确定性对目标(mbio)的影响的影响（effect of uncertainty on objectives）。）。目标目标不确定性不确定性影响影响(yngxing)第十页，共61页。2 2、信息安全风险、信息安全风险、信息安全风险

8、、信息安全风险(fngxin)(fngxin)的相关概念的相关概念的相关概念的相关概念第三章第三章 信息安全风险管理信息安全风险管理1 1 安全风险：特定的威胁利用资产的一种安全风险：特定的威胁利用资产的一种(y zhn)(y zhn)或多种脆弱或多种脆弱性，导致资产的丢失或损害的潜在可能性，即特定威胁性，导致资产的丢失或损害的潜在可能性，即特定威胁事件发生的可能性与后果的结合。事件发生的可能性与后果的结合。“风险风险”：不确定性对目标：不确定性对目标(mbio)的影响的影响（effect of uncertainty on objectives）。）。第十一页，共61页。2 2、信息安全风险

9、、信息安全风险、信息安全风险、信息安全风险(fngxin)(fngxin)的相关概念的相关概念的相关概念的相关概念第三章第三章 信息安全风险管理信息安全风险管理1 1 安全风险：特定的威胁利用资产安全风险：特定的威胁利用资产(zchn)(zchn)的一种或多种脆弱的一种或多种脆弱性，导致资产性，导致资产(zchn)(zchn)的丢失或损害的潜在可能性，即特定威胁的丢失或损害的潜在可能性，即特定威胁事件发生的可能性与后果的结合。事件发生的可能性与后果的结合。威胁（威胁（ThreatThreat）指可）指可能对资产或组织造成损能对资产或组织造成损害的事故的潜在害的事故的潜在(qi(qinznzi)

10、i)原因。原因。威胁的属性：威胁的主体（威胁源）、能力、资源、威胁的属性：威胁的主体（威胁源）、能力、资源、威胁的属性：威胁的主体（威胁源）、能力、资源、威胁的属性：威胁的主体（威胁源）、能力、资源、动机、途径、可能性等。动机、途径、可能性等。动机、途径、可能性等。动机、途径、可能性等。第十二页，共61页。2 2、信息安全风险、信息安全风险、信息安全风险、信息安全风险(fngxin)(fngxin)的相关概念的相关概念的相关概念的相关概念第三章第三章 信息安全风险管理信息安全风险管理1 1 安全风险安全风险(fngxin)(fngxin)：特定的威胁利用资产的一种或多种脆弱：特定的威胁利用资产

11、的一种或多种脆弱性，导致资产的丢失或损害的潜在可能性，即特定威胁性，导致资产的丢失或损害的潜在可能性，即特定威胁事件发生的可能性与后果的结合。事件发生的可能性与后果的结合。脆弱性（脆弱性（VulnerabilityVulnerability）就是资产的弱点）就是资产的弱点或薄弱点，这些弱点可能被威胁或薄弱点，这些弱点可能被威胁(wixi(wixi)利用造成安全事件的发生，从而对资产造成利用造成安全事件的发生，从而对资产造成损害。损害。脆弱性也常常被称为漏洞，脆弱性是资产本身所具有的。脆弱性也常常被称为漏洞，脆弱性是资产本身所具有的。脆弱性也常常被称为漏洞，脆弱性是资产本身所具有的。脆弱性也常常

12、被称为漏洞，脆弱性是资产本身所具有的。第十三页，共61页。2、信息安全风险、信息安全风险(fngxin)的相关概念的相关概念第三章第三章 信息安全风险管理信息安全风险管理1 1 安全风险：特定的威胁利用资产的一种或多种脆弱安全风险：特定的威胁利用资产的一种或多种脆弱性，导致资产的丢失或损害的潜在可能性，即特定威胁性，导致资产的丢失或损害的潜在可能性，即特定威胁事件发生事件发生(fshng)(fshng)的可能性与后果的结合。的可能性与后果的结合。资产（资产（AssetAsset）就是）就是(ji(jishsh)被组织被组织赋予了价值、需要保护的有用资源。赋予了价值、需要保护的有用资源。每项资产

13、都应该清晰地定义，合理地估价，在组织中明确资产所有权关每项资产都应该清晰地定义，合理地估价，在组织中明确资产所有权关每项资产都应该清晰地定义，合理地估价，在组织中明确资产所有权关每项资产都应该清晰地定义，合理地估价，在组织中明确资产所有权关系，对资产进行安全分类，并以文件形式详细记录在案。系，对资产进行安全分类，并以文件形式详细记录在案。系，对资产进行安全分类，并以文件形式详细记录在案。系，对资产进行安全分类，并以文件形式详细记录在案。第十四页，共61页。2、信息安全风险的相关、信息安全风险的相关(xinggun)概念概念第三章第三章 信息安全风险管理信息安全风险管理1 1 资产（资产（Ass

14、etAsset）就是）就是(jish)(jish)被组织赋予了价值、需要保护的有被组织赋予了价值、需要保护的有用资源。用资源。信息信息(xnx)(xnx)资产：数据库和数据文件等资产：数据库和数据文件等软件资产：应用软件、系统软件等软件资产：应用软件、系统软件等物理资产：计算机设备、通信设备等物理资产：计算机设备、通信设备等服务：计算和通信服务、通用公用事业等服务：计算和通信服务、通用公用事业等人力资源：人员及他们的资格、技能和经验等人力资源：人员及他们的资格、技能和经验等 无形资产：组织的声誉和形象等无形资产：组织的声誉和形象等 第十五页，共61页。2、信息安全风险、信息安全风险(fngxi

15、n)的相关概念的相关概念第三章第三章 信息安全风险管理信息安全风险管理1 1信息信息(xnx)(xnx)资产：数据库和数据文件等资产：数据库和数据文件等信息资产信息资产(zchn)(zchn)的分类的分类 信息的标识和处置信息的标识和处置 第十六页，共61页。2 2、信息安全风险、信息安全风险、信息安全风险、信息安全风险(fngxin)(fngxin)的相关概念的相关概念的相关概念的相关概念第三章第三章 信息安全风险管理信息安全风险管理1 1资产价值（资产价值（The value of assetThe value of asset）为明确对资产的保护对其进行估价，其价值大小为明确对资产的保护

16、对其进行估价，其价值大小既要考虑既要考虑(kol)(kol)其自身价值，也要考虑其自身价值，也要考虑(kol)(kol)其其对组织机构业务的重要性、一定条件下的潜在价值以对组织机构业务的重要性、一定条件下的潜在价值以及与之相关的安全保护措施。及与之相关的安全保护措施。资产价值体现了其对一个机构的业务的重要资产价值体现了其对一个机构的业务的重要资产价值体现了其对一个机构的业务的重要资产价值体现了其对一个机构的业务的重要(zhngyo)(zhngyo)程度。程度。程度。程度。第十七页，共61页。2、信息安全风险的相关、信息安全风险的相关(xinggun)概念概念第三章第三章 信息安全风险管理信息安

17、全风险管理1 1风险评估风险评估(pn)(pn)（Risk AssessmentRisk Assessment）对信息和信息处理设施的威胁、影响（对信息和信息处理设施的威胁、影响（ImpactImpact，指安，指安全事件所带来的直接和间接损失）和脆弱性及三者发生的全事件所带来的直接和间接损失）和脆弱性及三者发生的可能性的评估可能性的评估(pn)(pn)。第十八页，共61页。3、信息安全风险、信息安全风险(fngxin)的基本要素的基本要素第三章第三章 信息安全风险管理信息安全风险管理1 1I I I IS S S SOOOO/I I I IE E E EC C C C 1 1 1 13 3

18、3 33 3 3 33 3 3 35 5 5 5第十九页，共61页。3 3、信息安全风险、信息安全风险、信息安全风险、信息安全风险(fngxin)(fngxin)的基本要素的基本要素的基本要素的基本要素第三章第三章 信息安全风险管理信息安全风险管理1 1图示：图示：A A（AssetAsset）：资资 产产(zchn)(zchn)V V（VulnerabilityVulnerability）：脆脆弱弱性性T T（ThreatThreat）：威胁）：威胁S S（SafeguardSafeguard）：保保护护措措施施R R（Residual Residual RiskRisk）：残残余余风险风险

19、C C（ConstrainsConstrains）：约束）：约束ISO/IEC 13335 ISO/IEC 13335 ISO/IEC 13335 ISO/IEC 13335 安全要素安全要素安全要素安全要素(yo s)(yo s)(yo s)(yo s)之间的关系之间的关系之间的关系之间的关系第二十页，共61页。3、信息安全风险、信息安全风险(fngxin)的基本要素的基本要素第三章第三章 信息安全风险管理信息安全风险管理1 1第二十一页，共61页。3 3、信息安全风险、信息安全风险、信息安全风险、信息安全风险(fngxin)(fngxin)的基本要素的基本要素的基本要素的基本要素第三章第三

20、章 信息安全风险管理信息安全风险管理1 1资产资产业务战略业务战略/使命使命资产价值资产价值依赖依赖具有具有成本成本未被满足未被满足脆弱性脆弱性威胁威胁暴露暴露利用利用安全需求安全需求导出导出被满足被满足安全措施安全措施抵御抵御降低降低风险风险增加增加增加增加安全事件安全事件残余风险残余风险演变演变信信信信息息息息安安安安全全全全风风风风险险险险评评评评估估估估(p p p pn n n n )指指指指南南南南 第二十二页，共61页。3、信息安全风险、信息安全风险(fngxin)的基本要素的基本要素第三章第三章 信息安全风险管理信息安全风险管理1 1v残余风险（残余风险（Residual Ri

21、skResidual Risk）：采取了安全措施，）：采取了安全措施，提高了信息安全保障提高了信息安全保障(bozhng)(bozhng)能力后，仍然能力后，仍然可能存在的风险。可能存在的风险。v残余风险的提出残余风险的提出v风险不可能完全消除风险不可能完全消除v风险不必要完全消除风险不必要完全消除v残余风险应受到密切监视残余风险应受到密切监视,因为它可能会在将来因为它可能会在将来诱发新的事件诱发新的事件第二十三页，共61页。4、信息安全风险管理的实施、信息安全风险管理的实施(shsh)第三章第三章 信息安全风险管理信息安全风险管理1 1 风险管理通过风险评估来识别风险大小，通过制定信风险管理

22、通过风险评估来识别风险大小，通过制定信息安全息安全(nqun)(nqun)方针、采取适当的控制目标与控制方式对风险进行方针、采取适当的控制目标与控制方式对风险进行控制，使风险被避免、转移或降至一个可被接受的水平。控制，使风险被避免、转移或降至一个可被接受的水平。风险管理风险管理考虑考虑(kol)(kol)控制费用与风险之间的平衡控制费用与风险之间的平衡第二十四页，共61页。v风险评估v 对信息和信息处理设施的威胁、影响（Impact，指安全事件所带来的直接和间接损失）和脆弱性及三者发生的可能性的评估。v风险管理v 通过风险评估来识别风险大小，通过制定信息安全方针、采取适当(shdng)的控制目

23、标与控制方式对风险进行控制，使风险被避免、转移或降至一个可被接受的水平。第二十五页，共61页。4、信息安全风险管理的实施、信息安全风险管理的实施(shsh)第三章第三章 信息安全风险管理信息安全风险管理1 1生命周期阶段生命周期阶段阶段特征阶段特征来自风险管理活动的支持来自风险管理活动的支持阶段阶段1 1规划和启规划和启动动提出信息系统的目的、提出信息系统的目的、需求、规模和安全要需求、规模和安全要求。求。风险评估活动可用于风险评估活动可用于确定信息系统安全需确定信息系统安全需求求。阶段阶段2 2设计开发设计开发或采购或采购信息系统设计、购买、信息系统设计、购买、开发或建造。开发或建造。在本阶

24、段标识的风险可以用来在本阶段标识的风险可以用来为信息系统为信息系统的安全分析提供支持的安全分析提供支持，这可能会影响到，这可能会影响到系统在开发过程中要对体系结构和设计系统在开发过程中要对体系结构和设计方案进行权衡。方案进行权衡。阶段阶段3 3集成实现集成实现信息系统的安全特性应信息系统的安全特性应该被配置、激活、测试该被配置、激活、测试并得到验证。并得到验证。风险评估可支持风险评估可支持对系统实现效果的评价对系统实现效果的评价，考察其是否能满足要求，并考察系统所考察其是否能满足要求，并考察系统所运行的环境是否是预期设计的。有关风运行的环境是否是预期设计的。有关风险的一系列决策必须在系统运行之

25、前做险的一系列决策必须在系统运行之前做出。出。第二十六页，共61页。4、信息安全风险管理的实施、信息安全风险管理的实施(shsh)第三章第三章 信息安全风险管理信息安全风险管理1 1阶段阶段4 4运行和运行和维护维护信息系统开始执行其功能，一信息系统开始执行其功能，一般情况下系统要不断修改，添般情况下系统要不断修改，添加硬件和软件，或改变机构的加硬件和软件，或改变机构的运行规则、策略或流程等。运行规则、策略或流程等。当定期对系统进行当定期对系统进行重新评估重新评估时，或者信息系统在其运行时，或者信息系统在其运行性生产环境（例如新的系统性生产环境（例如新的系统接口）中做出重大变更时，接口）中做出

26、重大变更时，要对其进行风险评估活动。要对其进行风险评估活动。阶段阶段5 5废弃废弃本阶段涉及到对信息、硬件和本阶段涉及到对信息、硬件和软件的废弃。这些活动可能包软件的废弃。这些活动可能包括信息的转移、备份、丢弃、括信息的转移、备份、丢弃、销毁以及对软硬件进行的密级销毁以及对软硬件进行的密级处理。处理。当要当要废弃或替换系统组件废弃或替换系统组件时，时，要对其进行风险评估，以确要对其进行风险评估，以确保硬件和软件得到了适当的保硬件和软件得到了适当的废弃处置，且残留信息也恰废弃处置，且残留信息也恰当地进行了处理。并且要确当地进行了处理。并且要确保系统的更新换代能以一个保系统的更新换代能以一个安全和

27、系统化的方式完成。安全和系统化的方式完成。第二十七页，共61页。4、信息安全风险管理的实施、信息安全风险管理的实施(shsh)第三章第三章 信息安全风险管理信息安全风险管理1 1角色角色责任责任国家信息安国家信息安全主管机关全主管机关制定风险评估的政策、法规和标准制定风险评估的政策、法规和标准督促、检查和指导督促、检查和指导业务主管机业务主管机关关提出、制定并批准本部门的信息安全风险管理策略提出、制定并批准本部门的信息安全风险管理策略领导和组织本部门内的信息系统安全评估工作领导和组织本部门内的信息系统安全评估工作基于本部门内信息系统的特征以及风险评估的结果，判断基于本部门内信息系统的特征以及风

28、险评估的结果，判断信息系统残余风险是否可接受，并确定是否批准信息系统信息系统残余风险是否可接受，并确定是否批准信息系统投入运行投入运行检查信息系统运行中产生的安全状态报告检查信息系统运行中产生的安全状态报告定期或不定期地开展新的风险评估工作定期或不定期地开展新的风险评估工作第二十八页，共61页。4 4、信息安全风险管理的实施、信息安全风险管理的实施、信息安全风险管理的实施、信息安全风险管理的实施(shsh)(shsh)第三章第三章 信息安全风险管理信息安全风险管理1 1信息系统拥信息系统拥有者有者制定安全计划，报上级审批制定安全计划，报上级审批组织实施信息系统自评估工作组织实施信息系统自评估工

29、作配合检查评估或委托评估工作，并提供必要的文档等资源配合检查评估或委托评估工作，并提供必要的文档等资源向主管机关提出新一轮风险评估的建议向主管机关提出新一轮风险评估的建议改善信息安全措施，控制信息安全风险改善信息安全措施，控制信息安全风险信息系统承信息系统承建者建者根据对信息系统建设方案的风险评估结果，修正安全方根据对信息系统建设方案的风险评估结果，修正安全方案，使安全方案成本合理、积极有效，在方案中有效地控案，使安全方案成本合理、积极有效，在方案中有效地控制风险制风险规范建设，减少在建设阶段引入的新风险规范建设，减少在建设阶段引入的新风险确保安全组件产品得到了相关机构的认证确保安全组件产品得

30、到了相关机构的认证第二十九页，共61页。4、信息安全风险管理的实施、信息安全风险管理的实施(shsh)第三章第三章 信息安全风险管理信息安全风险管理1 1信息系统安信息系统安全评估机构全评估机构提供独立的风险评估提供独立的风险评估对信息系统中的安全措施进行评估，以判断（对信息系统中的安全措施进行评估，以判断（1 1）这些安）这些安全措施在特定运行环境中的有效性；（全措施在特定运行环境中的有效性；（2 2）实现了这些措）实现了这些措施后系统中存在的残余风险施后系统中存在的残余风险提出调整建议，以减少或根除信息系统中的脆弱性，有效提出调整建议，以减少或根除信息系统中的脆弱性，有效对抗安全威胁，控制

31、风险对抗安全威胁，控制风险保护风险评估中获得的敏感信息，防止被无关人员和单位保护风险评估中获得的敏感信息，防止被无关人员和单位获得获得信息系统的信息系统的关联机构关联机构遵守安全策略、法规、合同等涉及信息系统交互行为的安遵守安全策略、法规、合同等涉及信息系统交互行为的安全要求，减少信息安全风险全要求，减少信息安全风险协助风险评估机构确定评估边界协助风险评估机构确定评估边界在风险评估中提供必要的资源和资料在风险评估中提供必要的资源和资料第三十页，共61页。4、信息安全风险管理的实施、信息安全风险管理的实施(shsh)第三章第三章 信息安全风险管理信息安全风险管理1 1风风险险评评估估的的一一般般

32、(ybn)工工作作流流程程第三十一页，共61页。5、信息安全风险管理现状、信息安全风险管理现状(xinzhung)第三章第三章 信息安全风险管理信息安全风险管理1 1第三十二页，共61页。一、国际一、国际(guj)(guj)信息安全风险管理动态信息安全风险管理动态（一）美国：独占鳌头，加强控管（一）美国：独占鳌头，加强控管（二）欧洲（二）欧洲(u zhu)(u zhu)：不甘落后，重在预防：不甘落后，重在预防（三）亚太：及时跟进，确保发展（三）亚太：及时跟进，确保发展（四）国际组织：积极配合，重在规范（四）国际组织：积极配合，重在规范5、信息安全风险管理现状、信息安全风险管理现状(xinzhu

33、ng)第三十三页，共61页。（一）美国：独占鳌头（一）美国：独占鳌头(d zhn o tu)(d zhn o tu)，加强控管，加强控管u制定制定(zhdng)(zhdng)了从军政部门、公共部门和私营了从军政部门、公共部门和私营领域的风险管理政策和指南领域的风险管理政策和指南u形成了军、政、学、商分工协作的风险管理体系形成了军、政、学、商分工协作的风险管理体系u国防部、商务部、审计署、预算管理等部门各司国防部、商务部、审计署、预算管理等部门各司其职，形成了较为完整的风险分析、评估、监督、其职，形成了较为完整的风险分析、评估、监督、检查问责的工作机制检查问责的工作机制5 5、信息安全风险管理现

34、状、信息安全风险管理现状、信息安全风险管理现状、信息安全风险管理现状(xinzhung)(xinzhung)第三十四页，共61页。DOD：风险：风险(fngxin)评估的领路者评估的领路者u19671967年，年，DODDOD开始研究计算机安全问题。到开始研究计算机安全问题。到19701970年，对当年，对当时的大型机、远程终端作了第一次比较大规模的风险评估。时的大型机、远程终端作了第一次比较大规模的风险评估。u19771977年，年，DoDDoD提出了加强联邦政府和国防系统提出了加强联邦政府和国防系统(xtng)(xtng)计计算机安全的倡议。算机安全的倡议。u19871987年，第一次对新

35、发布的计算机安全法的执行情况进年，第一次对新发布的计算机安全法的执行情况进行部门级评估行部门级评估u19971997年，美国国防部发布国防部年，美国国防部发布国防部ITIT安全认证认可过程安全认证认可过程（DITSCAPDITSCAP）；）；20002000年，国家安全委员会发布了国家信息年，国家安全委员会发布了国家信息保障认证和认可过程（保障认证和认可过程（NIACAPNIACAP）u20072007年，根据美国的网络安全国家战略计划，对政府各部门年，根据美国的网络安全国家战略计划，对政府各部门的信息安全状况进行更加全面的审计和评估的信息安全状况进行更加全面的审计和评估5、信息安全风险管理现

36、状、信息安全风险管理现状(xinzhung)第三十五页，共61页。DOC/NIST：风险：风险(fngxin)评估的推动评估的推动者者u20002000年，年，NISTNIST在联邦在联邦ITIT安全评估框架中提出了自评估的安全评估框架中提出了自评估的5 5个级别。并颁布了个级别。并颁布了ITIT系统安全自评估指南（系统安全自评估指南（SP 800-26SP 800-26）u20022002年，年，NISTNIST发布了发布了ITIT系统风险管理指南（系统风险管理指南（SP 800-30SP 800-30）。）。阐明了风险评估的步骤、风险缓解的控制阐明了风险评估的步骤、风险缓解的控制(kngz

37、h)(kngzh)和评估和评估评价的方法。评价的方法。u20022002年，颁布了联邦信息安全管理法案（年，颁布了联邦信息安全管理法案（FISMAFISMA），要），要求联邦各机构必须进行定期的风险评估。求联邦各机构必须进行定期的风险评估。5、信息安全风险管理现状、信息安全风险管理现状(xinzhung)第三十六页，共61页。DOC/NIST：风险：风险(fngxin)评估的推动者评估的推动者u从从20022002年年1010月开始，月开始，NISTNIST先后先后(xinhu)(xinhu)发布了发布了联邦联邦ITIT系统安全认证和认可指南（系统安全认证和认可指南（SP 800-37SP 8

38、00-37）、）、联邦信息和信息系统的安全分类标准（联邦信息和信息系统的安全分类标准（FIPS FIPS 199199）、联邦）、联邦ITIT系统最小安全控制（系统最小安全控制（SP 800-53SP 800-53）、）、将各种信息和信息系统映射到安全类别的指南将各种信息和信息系统映射到安全类别的指南（SP 800-60SP 800-60）等多个文档，以风险思想为基础加强）等多个文档，以风险思想为基础加强联邦政府的信息安全。联邦政府的信息安全。5、信息安全风险管理现状、信息安全风险管理现状(xinzhung)第三十七页，共61页。学术界：风险学术界：风险(fngxin)(fngxin)评估的探

39、索者评估的探索者 美国政府通过信息安全教育计划鼓励和资助美国政府通过信息安全教育计划鼓励和资助2020多多所著名大学所著名大学(dxu)(dxu)开展与信息安全风险管理相关开展与信息安全风险管理相关的研究开发和人才培养工作，为风险管理不断输送技的研究开发和人才培养工作，为风险管理不断输送技术和智力资源。术和智力资源。如卡内基梅隆大学如卡内基梅隆大学(dxu)(dxu)：SSE-CMMSSE-CMM：信息安全工程能力成熟度模型：信息安全工程能力成熟度模型OCTAVEOCTAVE：发布了：发布了OCTAVEOCTAVE框架，属于自主型信息安框架，属于自主型信息安全风险评估方法。全风险评估方法。5、

40、信息安全风险管理现状、信息安全风险管理现状(xinzhung)第三十八页，共61页。商业界：风险商业界：风险(fngxin)(fngxin)评估的实践者评估的实践者工具工具公司公司成熟度成熟度功能功能标准标准RiskPACRiskPAC美国美国CSCICSCI公公司司成熟产成熟产品品主要进行定性和定主要进行定性和定量风险评估量风险评估RiskWatchRiskWatch美国美国RiskWatRiskWatchch公司公司成熟产成熟产品，有一品，有一定客户群定客户群综合各类相关标准综合各类相关标准进行风险评估和风进行风险评估和风险管理险管理各类信息安各类信息安全相关标准全相关标准XACTAXAC

41、TA美国美国XACTAXACTA公司公司成熟产成熟产品，有一品，有一定客户群定客户群主要依据主要依据NIACAPNIACAP、DITSCAPDITSCAP进行进行C&AC&A过程过程主要依据主要依据ISO ISO 1779917799、NIACAPNIACAP、DITSCAPDITSCAP5、信息安全风险管理现状、信息安全风险管理现状(xinzhung)第三十九页，共61页。（二）欧洲（二）欧洲(u zhu)(u zhu)：不甘落后，重在预：不甘落后，重在预防防1 1、“趋利避害趋利避害”一直是欧洲各国在信息化进程中防一直是欧洲各国在信息化进程中防范安全风险的共同策略范安全风险的共同策略2 2

42、、欧陆诸国和英联邦国家在风险管理上一直在探索、欧陆诸国和英联邦国家在风险管理上一直在探索走不同于美国的道路走不同于美国的道路3 3、欧盟投资、多国共同推动、欧盟投资、多国共同推动(tu dng)(tu dng)的的CORASCORAS项目充满欧洲理性思想的光芒，值得关注项目充满欧洲理性思想的光芒，值得关注5、信息安全风险管理现状、信息安全风险管理现状(xinzhung)第四十页，共61页。英国英国(yn u)(yn u)：BS7799BS7799享誉全球享誉全球u英国英国BSIBSI推出推出BS 7799BS 7799，分为两个部分：，分为两个部分：“BS7799-“BS7799-1:1999

43、 1:1999 信息安全管理实施细则信息安全管理实施细则”、“BS7799-“BS7799-2:2002 2:2002 信息安全管理体系规范信息安全管理体系规范”，u英国英国CCTACCTA开发了开发了CRAMMCRAMM风险评估工具，完全遵风险评估工具，完全遵循循BS7799BS7799。u英国英国C&AC&A系统安全公司推出了系统安全公司推出了COBRACOBRA（Consultative,Objective and Bi-functional Risk Consultative,Objective and Bi-functional Risk AnalysisAnalysis）工具，由一

44、系列风险分析、咨询和安全）工具，由一系列风险分析、咨询和安全评价评价(pngji)(pngji)工具组成。工具组成。5、信息安全风险管理现状、信息安全风险管理现状(xinzhung)第四十一页，共61页。德国：日尔曼人的德国：日尔曼人的“基线基线(jxin)”(jxin)”防御防御u德国联邦德国联邦ITIT基线防护基线防护(fngh)(fngh)手册手册（ITBPMITBPM）以严谨、周密而得名；）以严谨、周密而得名；u1991 1991 年，德国建立信息安全局年，德国建立信息安全局(BSI)(BSI)，主要负责政，主要负责政府部门的信息安全风险管理和评估工作。府部门的信息安全风险管理和评估工

45、作。u19971997年，颁布信息和通信服务规范法年，颁布信息和通信服务规范法u风险评估在方法上基本遵循风险评估在方法上基本遵循BS 7799BS 7799。5、信息安全风险管理现状、信息安全风险管理现状(xinzhung)第四十二页，共61页。欧盟的欧盟的CORASCORAS项目项目(xingm)(xingm)u20012001年至年至20032003年，欧盟投资，四个欧洲国家（德年，欧盟投资，四个欧洲国家（德国、希腊、英国、挪威）的国、希腊、英国、挪威）的11 11个机构，历时个机构，历时3 3年时年时间，完成了安全关键间，完成了安全关键(gunjin)(gunjin)系统的风险分析系统的

46、风险分析平台项目平台项目CORASCORAS，使用，使用UMLUML建模技术，开发了一建模技术，开发了一个面向对象建模技术的风险评估框架。个面向对象建模技术的风险评估框架。u一期完成之后，欧盟继续投资为期三年的二期项一期完成之后，欧盟继续投资为期三年的二期项目目COMACOMA，20072007年完成。年完成。5、信息安全风险管理现状、信息安全风险管理现状(xinzhung)第四十三页，共61页。CORASCORAS：欧洲：欧洲(u zhu)(u zhu)经典经典第四十四页，共61页。（三）亚太：及时跟进（三）亚太：及时跟进(n jn)(n jn)，确保发，确保发展展u日本：在风险管理方面综合

47、美国和英国的做法，日本：在风险管理方面综合美国和英国的做法，建立了建立了“安全管理系统评估制度安全管理系统评估制度”(ISMS)”(ISMS)，作为，作为日本标准日本标准(JIS)(JIS)，启用了，启用了ISOISOIECl7799-1(BS7799)IECl7799-1(BS7799)；u韩国：主要参照美国的政策和方法韩国：主要参照美国的政策和方法(fngf)(fngf)；u新加坡：主要参照英国的做法，在信息安全风险新加坡：主要参照英国的做法，在信息安全风险评估方面依据评估方面依据BS 7799BS 7799。5、信息安全风险管理现状、信息安全风险管理现状(xinzhung)第四十五页，共

48、61页。I IS SO O：专专业业(z zh hu un ny y)的的普普通通话话uISO/IEC 13335ISO/IEC 13335ITIT安全管理指南安全管理指南(zhnn)(zhnn)uISO/IEC 17799ISO/IEC 17799uISO 27000ISO 27000系列系列uISO 27000 ISO 27000 信息安全管理体系基本原理和词汇信息安全管理体系基本原理和词汇uISO 27001 ISO 27001 信息安全管理体系要求信息安全管理体系要求uISO 27002 ISO 27002 信息安全管理实践准则信息安全管理实践准则uISO 27003 ISO 2700

49、3 信息安全管理实施指南信息安全管理实施指南(zhnn)(zhnn)uISO 27004 ISO 27004 信息安全管理的度量指标和衡量信息安全管理的度量指标和衡量uISO 27005 ISO 27005 信息安全风险管理指南信息安全风险管理指南(zhnn)(zhnn)uISO 27006 ISO 27006 信息和通信技术灾难恢复和服务指南信息和通信技术灾难恢复和服务指南(zhnn)(zhnn)uISO/IEC 21827:2002(SSE-CMM)ISO/IEC 21827:2002(SSE-CMM)：信息安全工程能力成熟度模型：信息安全工程能力成熟度模型uISO/IEC 15408IS

50、O/IEC 15408：IT IT 安全评估通用准则（安全评估通用准则（CCCC）5、信息安全风险管理现状、信息安全风险管理现状(xinzhung)第四十六页，共61页。ITU：产业：产业(chny)的风向标的风向标u在安全体系和框架方面主要维护在安全体系和框架方面主要维护X.8xxX.8xx系列标准：系列标准：u在信息安全管理在信息安全管理(gunl)(gunl)方面已发布：方面已发布：ITU-ITU-TX.1051TX.1051信息安全管理信息安全管理(gunl)(gunl)系统系统通信需求通信需求（ISMS-TISMS-T）u在安全通讯业务方面涉及所有网络与信息安全，主要在安全通讯业务方