海军计算技术研究所 公安部信息安全标委会委员 国家信息化咨询委员会 中科院信息安全技术工程研究中心 国家保密技术研究所 公安部十一局 国家信息化咨询委员会
22
与会专家听取了起草小组的编制说明及内容介绍,审阅了 会专家听取了起草小组的编制说明及内容介绍, 相关文档资料,经质询和讨论,一致认为: 相关文档资料,经质询和讨论,一致认为:
13
整个试点工作历时7个月,各试点单位对标准草案 个试点工作历时7个月,
先后提出40 多条补充修改意见,标准起草组根据试点结果 先后提出 多条补充修改意见,标准起草组根据试点结果 先后进行了三次较大规模的修改.主要内容包括: 先后进行了三次较大规模的修改.主要内容包括: --细化了资产的分类方法,脆弱性的识别要求,修 细化了资产的分类方法, 细化了资产的分类方法 脆弱性的识别要求, 改并细化了风险计算的方法; 改并细化了风险计算的方法; --对自评估,检查评估不同评估形式的内容与实施 对自评估, 对自评估 的重点进行了区分; 的重点进行了区分; --对风险评估的工具进行了梳理和区分,形成了现 对风险评估的工具进行了梳理和区分, 对风险评估的工具进行了梳理和区分 在的几种类型; 在的几种类型; --细化了生命周期不同阶段风险评估的主要内容. 细化了生命周期不同阶段风险评估的主要内容. 细化了生命周期不同阶段风险评估的主要内容 试点实践证明,试行标准基本满足各试点单位评估工 试点实践证明, 作的需求. 作的需求.
送审稿规范了风险评估的评估内容与范围,基本概念, 一,送审稿规范了风险评估的评估内容与范围,基本概念,明确 了资产,威胁, 了资产,威胁,脆弱性和安全风险等关键要素及其赋值原则和 要求,提出了实施流程与操作步骤,评估规则与基本方法, 要求,提出了实施流程与操作步骤,评估规则与基本方法,并 充分考虑与信息安全等级保护相关标准相衔接. 充分考虑与信息安全等级保护相关标准相衔接. 送审稿的操作性较强,对开展风险评估工作具有指导作用, 二,送审稿的操作性较强,对开展风险评估工作具有指导作用, 并在国务院信息办组织的风险评估试点中得到了进一步的实践 验证和充实完善. 验证和充实完善. 文本的编制符合国家标准GB1.1的要求. GB1.1的要求 三,文本的编制符合国家标准GB1.1的要求. 专家组认为送审稿达到国家标准送审稿的要求, 专家组认为送审稿达到国家标准送审稿的要求,同意通过评 建议起草组根据专家意见尽快修改完善后申报. 审.建议起草组根据专家意见尽快修改完善后申报.
4
一,标准的编制过程
1,前期研究准备 2,标准草案编制 3,试点实践检验 4,专家评审论证 ,
5
1,前期研究准备 ,
2003年7月, 中办发[2003]27号文件对开展信息 中办发[2003]27 [2003]27号文件对开展信息
安全风险评估工作提出了明确的要求.国信办委托国家信 安全风险评估工作提出了明确的要求. 息中心牵头,成立了国家信息安全风险评估课题组, 息中心牵头,成立了国家信息安全风险评估课题组,对信 息安全风险评估相关工作展开调查研究. 息安全风险评估相关工作展开调查研究.课题组利用半年 多的时间,对我国信息安全风险评估现状进行了深入调查, 多的时间,对我国信息安全风险评估现状进行了深入调查, 掌握了第一手情况;对国内外相关领域的理论进行了学习, 掌握了第一手情况;对国内外相关领域的理论进行了学习, 分析和研究,查阅了大量的相关资料, 分析和研究,查阅了大量的相关资料,基本了解了此领域 的国际前沿动态. 的国际前沿动态.这些都为标准编制工作奠定了良好的基 础.
6
统一的风险评估技术标准是规范开展信息安全风
险评估工作的必备条件.落实中办发27号文件, 27号文件 险评估工作的必备条件.落实中办发27号文件,全面推进 我国的信息安全风险评估工作, 我国的信息安全风险评估工作,首先就必须解决我国缺乏 统一的风险评估技术标准的问题. 统一的风险评估技术标准的问题. 为此,国信办领导根据专家们的建议, 为此,国信办领导根据专家们的建议,决定着手开展 信息安全风险评估国家标准的编制工作及相关实践活动. 信息安全风险评估国家标准的编制工作及相关实践活动. 旨在通过这项工作更好地加强国家基础网络和重要信息系 统的风险评估及管理工作,使其流程更加科学,统一, 统的风险评估及管理工作,使其流程更加科学,统一,规 有效. 范,有效.
14
一,标准的制定过程
1,前期研究准备 2,标准草案编制 3,试点实践检验 4,专家评审论证 ,
15
4,专家评审论证 ,
2005年9月16日,国家信息中心在北京组织召开 16日
了由周仲义院士主持的《信息安全风险评估指南( 了由周仲义院士主持的《信息安全风险评估指南(征求意 见稿) 第一次专家评审会. 见稿)》第一次专家评审会.
16
第一次专家评审会名单
姓 名 周仲义 熊四皓 王娜 姚世权 贾颖禾 崔书昆 景乾元 李建彬 张宏伟 姚丽旋 肖京华 冯惠 吴伟 詹榜华 单 位 职务/ 职务/职称 院士 处长 处长 研究员 副秘书长/研究员 委员/研究员 处长 副处长 处长 处长 处长 副主任/高工 处长 总经理 17
中国工程院 国务院信息办 国家发改委高科技司 中国标准化协会 全国信息安全标准化技术委员会 国家信息化专家咨询委员会 公安部十一局 国税总局信息中心 黑龙江省信息产业厅 上海市信息化管理委员会 总参三部三局 中国电子技术标准化研究所 国家电网公司 北京市CA中心
与会专家认为标准起草组做了大量卓有成效的工作, 会专家认为标准起草组做了大量卓有成效的工作,
标准的结构合理,内容完备,可操作性强, 标准的结构合理 , 内容完备 , 可操作性强 , 并充分考虑与信 息安全等级保护相关标准相衔接. 息安全等级保护相关标准相衔接 . 文本的编制符合国家标准 的要求. 同时, 的要求 . 同时 , 专家们也对完善标准提出了进一步的修改意 见.
7
一,标准的编制过程
1,前期研究准备 2,标准草案编制 3,试点实践检验 4,专家评审论证 ,
8
2,标准草案编制
根据国信办的指示和信安标委的具体要求,国家信息 据国信办的指示和信安标委的具体要求,
中心组织国家保密技术研究所,公安部三所, 中心组织国家保密技术研究所,公安部三所,北京信息安全 测评中心,上海市测评认证中心, 测评中心,上海市测评认证中心,信息安全国家重点实验室 以及BJCA,上海三零卫士,联想,天融信,启明星辰, 以及BJCA,上海三零卫士,联想,天融信,启明星辰,绿 科飞,凝瑞等国内十几家企事业单位于2004年 29日 盟,科飞,凝瑞等国内十几家企事业单位于2004年3月29日 正式启动标准草案的编制工作.此后, 正式启动标准草案的编制工作.此后,中国信息安全产品测 评认证中心,解放军信息技术安全研究中心, 评认证中心,解放军信息技术安全研究中心,航天部二院七 O六所等单位也参与了标准的编制与起草. 六所等单位也参与了标准的编制与起草. 起草组在前期准备工作的基础上,经过多次研究探讨, 起草组在前期准备工作的基础上,经过多次研究探讨, 确定了编制标准应遵循的原则 遵循的原则: 确定了编制标准应遵循的原则:
10
在标准编制的过程中,标准起草组多次与相关主管 标准编制的过程中,
部门所属机构的专家代表就技术标准有关主体内容进行会 向相关单位发放标准文本, 商;向相关单位发放标准文本,通过电子邮件等形式广泛 征求业界意见;召开标准讨论会议三十几次,共收集100 征求业界意见 ; 召开标准讨论会议三十几次 , 共收集 100 多条修改意见. 多条修改意见. 起草组逐一对修改意见进行研究, 起草组逐一对修改意见进行研究,在充分吸纳合理成 份的基础上, 信息安全风险评估规范》 份的基础上,对《信息安全风险评估规范》等标准进行了 较大幅度的修改,使标准的体系结构更趋完善,合理. 较大幅度的修改,使标准的体系结构更趋完善,合理.
11
一,标准的制定过程
1,前期研究准备 2,标准草案编制 3,试点实践检验 4,专家评审论证 ,
12
3,试点实践检验 ,
2005年2月, 根据国信办[2005]4号和5号文件, 根据国信办 2005] 号和5 号文件, 国信办[
关于在银行,税务,电力等部门和电子政务外网, 关于在银行,税务,电力等部门和电子政务外网,以及北 上海,黑龙江,云南等省市, 京,上海,黑龙江,云南等省市,开展信息安全风险评估 试点工作的要求, 试点工作的要求,标准起草组配合风险评估试点工作专家 组开展了以下工作: 组开展了以下工作: --为各试点单位提供标准草案文本和相关说明; 为各试点单位提供标准草案文本和相关说明; 为各试点单位提供标准草案文本和相关说明 --在试点准备阶段与各试点单位的技术骨干进行标 在试点准备阶段与各试点单位的技术骨干进行标 准技术交流; 准技术交流; --根据标准草案文本涉及的关键技术,起草组成员 根据标准草案文本涉及的关键技术, 根据标准草案文本涉及的关键技术 选择试点环节参与实际试点; 选择试点环节参与实际试点; --在试点过程中,先后几次召开标准研讨会,征求 在试点过程中, 在试点过程中 先后几次召开标准研讨会, 各单位对标准的意见与建议. 各单位对标准的意见与建议.
全国信息安全标准化技术委员会 国家信息化咨询委员会 国家信息化咨询委员会 信息安全863项目专家组组长 中国信息安全产品测评认证中心 国家信息化咨询委员会 公安部十一局 解放军信息安全测评中心 全国信息安全标准化技术委员会 中国信息安全产品测评认证中心 中石油经济技术中心 民航总局人事科技司 航天科技集团706所 中国工商银行总行信息科技部
20
2005年12月14日,由安标委第五工作组主持召开了 12月14日
由沈昌祥院士为专家组组长的信息安全风险评估国家标准送 审稿的专家评审会. 审稿的专家评审会.
21
专家评审会名单
姓 名 沈昌祥 吉增瑞 赵战生 卿斯汉 杜虹 景乾元 崔书昆 单 位 职务/ 职务/职称 院士 研究员 研究员 研究员 所长 处长 研究员