信息安全风险管理资料.pptx

1、本节内容本节内容信息安全风险的引入信息安全风险的引入1信息安全风险的相关概念信息安全风险的相关概念2信息信息安全风险的基本要素安全风险的基本要素3信息安全风险管理的实施信息安全风险管理的实施 4信息安全风险评估现状信息安全风险评估现状 5第三章第三章 信息安全风险管理信息安全风险管理1 1u风险是事件未来可能风险是事件未来可能结果结果发生的不确定性发生的不确定性 u风险是风险是损失损失发生的不确定性发生的不确定性 u风险是指可能发生损失的风险是指可能发生损失的损害程度损害程度的大小的大小u风险是指损失的风险是指损失的大小大小和发生的和发生的可能性可能性 u风险是由风险构成要素相互作用的结果风险

2、是由风险构成要素相互作用的结果 1 1、信息安全风险的引入、信息安全风险的引入、信息安全风险的引入、信息安全风险的引入第三章第三章 信息安全风险管理信息安全风险管理1 1 2007 2007年年4 4月月2222日至日至2727日，国际标准化组织技术管理日，国际标准化组织技术管理局风险管理工作组（局风险管理工作组（ISO/TMB/WGISO/TMB/WGRiskRiskManagementManagement）在加拿大渥太华召开了第四次工作组会议。在加拿大渥太华召开了第四次工作组会议。“风险风险”：不确定性对目标的影响：不确定性对目标的影响（effect of uncertainty on o

3、bjectiveseffect of uncertainty on objectives）。）。该定义克服了其他国家对该定义克服了其他国家对“风险风险”定义过于狭窄、不准确等弊定义过于狭窄、不准确等弊端，直指风险的本质，准确、全面、易于理解、便于应用。端，直指风险的本质，准确、全面、易于理解、便于应用。1 1、信息安全风险的引入、信息安全风险的引入、信息安全风险的引入、信息安全风险的引入第三章第三章 信息安全风险管理信息安全风险管理1 11 1、信息安全风险的引入、信息安全风险的引入、信息安全风险的引入、信息安全风险的引入信信息息安安全全的的不不确确定定性性第三章第三章 信息安全风险管理信息安

4、全风险管理1 11 1、信息安全风险的引入、信息安全风险的引入、信息安全风险的引入、信息安全风险的引入信信息息安安全全的的不不确确定定性性1 1、信息安全风险的引入、信息安全风险的引入、信息安全风险的引入、信息安全风险的引入绝对安全绝对安全冗余的安全措施；冗余的安全措施；低效的安全投资；低效的安全投资；紧张的安全管理人员；紧张的安全管理人员；对员工的不信任感。对员工的不信任感。第三章第三章 信息安全风险管理信息安全风险管理1 1？如何确切掌握网络和信息系统的安全程度；？如何确切掌握网络和信息系统的安全程度；？安全威胁来自何方；？安全威胁来自何方；？加强信息安全保障工作应采取哪些措施，要投入多？

5、加强信息安全保障工作应采取哪些措施，要投入多少人力、财力和物力；少人力、财力和物力；？已采取的信息安全措施是否有效。？已采取的信息安全措施是否有效。适度安全适度安全第三章第三章 信息安全风险管理信息安全风险管理1 11 1、信息安全风险的引入、信息安全风险的引入、信息安全风险的引入、信息安全风险的引入第三章第三章 信息安全风险管理信息安全风险管理1 11 1、信息安全风险的引入、信息安全风险的引入、信息安全风险的引入、信息安全风险的引入安全是相对的，风险是绝对的；安全是相对的，风险是绝对的；安全强度与安全代价寻求平衡点；安全强度与安全代价寻求平衡点；安全与开放寻求平衡点。安全与开放寻求平衡点。

6、1 1、信息安全风险的引入、信息安全风险的引入、信息安全风险的引入、信息安全风险的引入 以风险评估为安全建设的出发点。它的重要意义就以风险评估为安全建设的出发点。它的重要意义就在于改变传统的以在于改变传统的以技术驱动技术驱动为导向的安全体系结构设计为导向的安全体系结构设计及详细安全方案制定，采取及详细安全方案制定，采取成本效益平衡成本效益平衡的原则。的原则。第三章第三章 信息安全风险管理信息安全风险管理1 12 2、信息安全风险的相关概念、信息安全风险的相关概念、信息安全风险的相关概念、信息安全风险的相关概念第三章第三章 信息安全风险管理信息安全风险管理1 1“风险风险”：不确定性对目标的影响

7、：不确定性对目标的影响（effect of uncertainty on objectiveseffect of uncertainty on objectives）。）。目标目标不确定性不确定性影响影响2 2、信息安全风险的相关概念、信息安全风险的相关概念、信息安全风险的相关概念、信息安全风险的相关概念第三章第三章 信息安全风险管理信息安全风险管理1 1 安全风险安全风险：特定的威胁利用资产的一种或多种脆弱：特定的威胁利用资产的一种或多种脆弱性，导致资产的丢失或损害的潜在可能性，即特定威胁性，导致资产的丢失或损害的潜在可能性，即特定威胁事件发生的可能性与后果的结合。事件发生的可能性与后果的结

8、合。“风险风险”：不确定性对目标的影响：不确定性对目标的影响（effect of uncertainty on objectiveseffect of uncertainty on objectives）。）。2 2、信息安全风险的相关概念、信息安全风险的相关概念、信息安全风险的相关概念、信息安全风险的相关概念第三章第三章 信息安全风险管理信息安全风险管理1 1 安全风险安全风险：特定的：特定的威胁威胁利用资产的一种或多种脆弱利用资产的一种或多种脆弱性，导致资产的丢失或损害的潜在可能性，即特定威胁性，导致资产的丢失或损害的潜在可能性，即特定威胁事件发生的可能性与后果的结合。事件发生的可能性与后

9、果的结合。威胁（威胁（ThreatThreat）指可）指可能对资产或组织造成损能对资产或组织造成损害的事故的潜在原因。害的事故的潜在原因。威胁的属性：威胁的主体（威胁源）、能力、资源、威胁的属性：威胁的主体（威胁源）、能力、资源、威胁的属性：威胁的主体（威胁源）、能力、资源、威胁的属性：威胁的主体（威胁源）、能力、资源、动机、途径、可能性等。动机、途径、可能性等。动机、途径、可能性等。动机、途径、可能性等。2 2、信息安全风险的相关概念、信息安全风险的相关概念、信息安全风险的相关概念、信息安全风险的相关概念第三章第三章 信息安全风险管理信息安全风险管理1 1 安全风险安全风险：特定的威胁利用资

10、产的一种或多种：特定的威胁利用资产的一种或多种脆弱脆弱性性，导致资产的丢失或损害的潜在可能性，即特定威胁，导致资产的丢失或损害的潜在可能性，即特定威胁事件发生的可能性与后果的结合。事件发生的可能性与后果的结合。脆弱性（脆弱性（VulnerabilityVulnerability）就是资产的）就是资产的弱点或薄弱点，这些弱点可能被威胁利弱点或薄弱点，这些弱点可能被威胁利用造成安全事件的发生，从而对资产造用造成安全事件的发生，从而对资产造成损害。成损害。脆弱性也常常被称为漏洞，脆弱性是资产本身所具有的。脆弱性也常常被称为漏洞，脆弱性是资产本身所具有的。脆弱性也常常被称为漏洞，脆弱性是资产本身所具有

11、的。脆弱性也常常被称为漏洞，脆弱性是资产本身所具有的。2 2、信息安全风险的相关概念、信息安全风险的相关概念、信息安全风险的相关概念、信息安全风险的相关概念第三章第三章 信息安全风险管理信息安全风险管理1 1 安全风险安全风险：特定的威胁利用资产的一种或多种脆弱：特定的威胁利用资产的一种或多种脆弱性，导致性，导致资产资产的丢失或损害的潜在可能性，即特定威胁的丢失或损害的潜在可能性，即特定威胁事件发生的可能性与后果的结合。事件发生的可能性与后果的结合。资产（资产（AssetAsset）就是被组织赋予了）就是被组织赋予了价值、需要保护的有用资源。价值、需要保护的有用资源。每项资产都应该清晰地定义，

12、合理地估价，在组织中明确资产所每项资产都应该清晰地定义，合理地估价，在组织中明确资产所每项资产都应该清晰地定义，合理地估价，在组织中明确资产所每项资产都应该清晰地定义，合理地估价，在组织中明确资产所有权关系，对资产进行安全分类，并以文件形式详细记录在案。有权关系，对资产进行安全分类，并以文件形式详细记录在案。有权关系，对资产进行安全分类，并以文件形式详细记录在案。有权关系，对资产进行安全分类，并以文件形式详细记录在案。2 2、信息安全风险的相关概念、信息安全风险的相关概念、信息安全风险的相关概念、信息安全风险的相关概念第三章第三章 信息安全风险管理信息安全风险管理1 1 资产（资产（Asset

13、Asset）就是被组织赋予了价值、需要保护的有）就是被组织赋予了价值、需要保护的有用资源。用资源。信息资产：数据库和数据文件等信息资产：数据库和数据文件等软件资产：应用软件、系统软件等软件资产：应用软件、系统软件等物理资产：计算机设备、通信设备等物理资产：计算机设备、通信设备等服务：计算和通信服务、通用公用事业等服务：计算和通信服务、通用公用事业等人力资源：人员及他们的资格、技能和经验等人力资源：人员及他们的资格、技能和经验等 无形资产：组织的声誉和形象等无形资产：组织的声誉和形象等 2 2、信息安全风险的相关概念、信息安全风险的相关概念、信息安全风险的相关概念、信息安全风险的相关概念第三章第

14、三章 信息安全风险管理信息安全风险管理1 1信息资产：数据库和数据文件等信息资产：数据库和数据文件等信息资产的分类信息资产的分类 信息的标识和处置信息的标识和处置 2 2、信息安全风险的相关概念、信息安全风险的相关概念、信息安全风险的相关概念、信息安全风险的相关概念第三章第三章 信息安全风险管理信息安全风险管理1 1资产价值（资产价值（The value of assetThe value of asset）为明确对资产的保护对其进行估价，其价值大为明确对资产的保护对其进行估价，其价值大小既要考虑其自身价值，也要考虑其对组织机构业小既要考虑其自身价值，也要考虑其对组织机构业务的重要性、一定条件

15、下的潜在价值以及与之相关务的重要性、一定条件下的潜在价值以及与之相关的安全保护措施。的安全保护措施。资产价值体现了其对一个机构的业务的重要程度。资产价值体现了其对一个机构的业务的重要程度。资产价值体现了其对一个机构的业务的重要程度。资产价值体现了其对一个机构的业务的重要程度。2 2、信息安全风险的相关概念、信息安全风险的相关概念、信息安全风险的相关概念、信息安全风险的相关概念第三章第三章 信息安全风险管理信息安全风险管理1 1风险评估（风险评估（Risk AssessmentRisk Assessment）对信息和信息处理设施的对信息和信息处理设施的威胁威胁、影响影响（ImpactImpact

16、，指安，指安全事件所带来的直接和间接损失）和全事件所带来的直接和间接损失）和脆弱性脆弱性及三者发生的及三者发生的可能性可能性的评估。的评估。3 3、信息安全风险的基本要素、信息安全风险的基本要素、信息安全风险的基本要素、信息安全风险的基本要素第三章第三章 信息安全风险管理信息安全风险管理1 1I I I IS S S SOOOO/I I I IE E E EC C C C 1 1 1 13 3 3 33 3 3 33 3 3 35 5 5 53 3、信息安全风险的基本要素、信息安全风险的基本要素、信息安全风险的基本要素、信息安全风险的基本要素第三章第三章 信息安全风险管理信息安全风险管理1 1

17、图示：图示：A A（AssetAsset）：）：资产资产V V（VulnerabilityVulnerability）：脆脆弱性弱性T T（ThreatThreat）：）：威胁威胁S S（SafeguardSafeguard）：保保护护措施措施R R（Residual Residual RiskRisk）：残残余风险余风险C C（ConstrainsConstrains）：）：约束约束ISO/IEC 13335 ISO/IEC 13335 ISO/IEC 13335 ISO/IEC 13335 安全要素之间的关系安全要素之间的关系安全要素之间的关系安全要素之间的关系3 3、信息安全风险的基本要

18、素、信息安全风险的基本要素、信息安全风险的基本要素、信息安全风险的基本要素第三章第三章 信息安全风险管理信息安全风险管理1 13 3、信息安全风险的基本要素、信息安全风险的基本要素、信息安全风险的基本要素、信息安全风险的基本要素第三章第三章 信息安全风险管理信息安全风险管理1 1资产资产资产资产业务战略业务战略/使命使命资产价值资产价值依赖依赖具有具有成本成本未被满足未被满足脆弱性脆弱性威胁威胁暴露暴露利用利用安全需求安全需求导出导出被满足被满足安全措施安全措施抵御抵御降低降低风险风险风险风险增加增加增加增加安全事件安全事件残余风险残余风险演变演变信信信信息息息息安安安安全全全全风风风风险险险

19、险评评评评估估估估指指指指南南南南 3 3、信息安全风险的基本要素、信息安全风险的基本要素、信息安全风险的基本要素、信息安全风险的基本要素第三章第三章 信息安全风险管理信息安全风险管理1 1v残余风险（残余风险（ResidualRisk）：采取了安全措施，：采取了安全措施，提高了信息安全保障能力后，仍然可能存在的风提高了信息安全保障能力后，仍然可能存在的风险。险。v残余风险的提出残余风险的提出风险不可能完全消除风险不可能完全消除风险不必要完全消除风险不必要完全消除残余风险应受到密切监视残余风险应受到密切监视,因为它可能会在将因为它可能会在将来诱发新的事件来诱发新的事件4 4、信息安全风险管理的

20、实施、信息安全风险管理的实施、信息安全风险管理的实施、信息安全风险管理的实施第三章第三章 信息安全风险管理信息安全风险管理1 1 风险管理风险管理通过风险评估来识别风险大小，通过制定信通过风险评估来识别风险大小，通过制定信息安全方针、采取适当的控制目标与控制方式对风险进行息安全方针、采取适当的控制目标与控制方式对风险进行控制，使风险被避免、转移或降至一个可被接受的水平。控制，使风险被避免、转移或降至一个可被接受的水平。风险管理风险管理考虑控制费用与风险之间的平衡考虑控制费用与风险之间的平衡v风险评估 对信息和信息处理设施的对信息和信息处理设施的威胁威胁、影响影响（ImpactImpact，指安

21、全事件所带来的直接和间接损失）和，指安全事件所带来的直接和间接损失）和脆弱脆弱性性及三者发生的及三者发生的可能性可能性的评估。的评估。v风险管理 通过风险评估来识别风险大小，通过制定信通过风险评估来识别风险大小，通过制定信息安全方针、采取适当的控制目标与控制方式对息安全方针、采取适当的控制目标与控制方式对风险进行控制，使风险被避免、转移或降至一个风险进行控制，使风险被避免、转移或降至一个可被接受的水平。可被接受的水平。4 4、信息安全风险管理的实施、信息安全风险管理的实施、信息安全风险管理的实施、信息安全风险管理的实施第三章第三章 信息安全风险管理信息安全风险管理1 1生命周期阶段生命周期阶段

22、阶段特征阶段特征来自风险管理活动的支持来自风险管理活动的支持阶段阶段1 1规划和启规划和启动动提出信息系统的目的、提出信息系统的目的、需求、规模和安全要需求、规模和安全要求。求。风险评估活动可用于风险评估活动可用于确定信息系统安全确定信息系统安全需求需求。阶段阶段2 2设计开发设计开发或采购或采购信息系统设计、购买、信息系统设计、购买、开发或建造。开发或建造。在本阶段标识的风险可以用来在本阶段标识的风险可以用来为信息系为信息系统的安全分析提供支持统的安全分析提供支持，这可能会影响，这可能会影响到系统在开发过程中要对体系结构和设到系统在开发过程中要对体系结构和设计方案进行权衡。计方案进行权衡。阶

23、段阶段3 3集成实现集成实现信息系统的安全特性应信息系统的安全特性应该被配置、激活、测试该被配置、激活、测试并得到验证。并得到验证。风险评估可支持风险评估可支持对系统实现效果的评价对系统实现效果的评价，考察其是否能满足要求，并考察系统所考察其是否能满足要求，并考察系统所运行的环境是否是预期设计的。有关风运行的环境是否是预期设计的。有关风险的一系列决策必须在系统运行之前做险的一系列决策必须在系统运行之前做出。出。4 4、信息安全风险管理的实施、信息安全风险管理的实施、信息安全风险管理的实施、信息安全风险管理的实施第三章第三章 信息安全风险管理信息安全风险管理1 1阶段阶段4 4运行运行和维护和维

24、护信息系统开始执行其功能，一信息系统开始执行其功能，一般情况下系统要不断修改，添般情况下系统要不断修改，添加硬件和软件，或改变机构的加硬件和软件，或改变机构的运行规则、策略或流程等。运行规则、策略或流程等。当定期对系统进行当定期对系统进行重新评估重新评估时，或者信息系统在其运行时，或者信息系统在其运行性生产环境（例如新的系统性生产环境（例如新的系统接口）中做出重大变更时，接口）中做出重大变更时，要对其进行风险评估活动。要对其进行风险评估活动。阶段阶段5 5废弃废弃本阶段涉及到对信息、硬件和本阶段涉及到对信息、硬件和软件的废弃。这些活动可能包软件的废弃。这些活动可能包括信息的转移、备份、丢弃、括

25、信息的转移、备份、丢弃、销毁以及对软硬件进行的密级销毁以及对软硬件进行的密级处理。处理。当要当要废弃或替换系统组件废弃或替换系统组件时，时，要对其进行风险评估，以确要对其进行风险评估，以确保硬件和软件得到了适当的保硬件和软件得到了适当的废弃处置，且残留信息也恰废弃处置，且残留信息也恰当地进行了处理。并且要确当地进行了处理。并且要确保系统的更新换代能以一个保系统的更新换代能以一个安全和系统化的方式完成。安全和系统化的方式完成。4 4、信息安全风险管理的实施、信息安全风险管理的实施、信息安全风险管理的实施、信息安全风险管理的实施第三章第三章 信息安全风险管理信息安全风险管理1 1角色角色责任责任国

26、家信息安国家信息安全主管机关全主管机关制定风险评估的政策、法规和标准制定风险评估的政策、法规和标准督促、检查和指导督促、检查和指导业务主管机业务主管机关关提出、制定并批准本部门的信息安全风险管理策略提出、制定并批准本部门的信息安全风险管理策略领导和组织本部门内的信息系统安全评估工作领导和组织本部门内的信息系统安全评估工作基于本部门内信息系统的特征以及风险评估的结果，判断基于本部门内信息系统的特征以及风险评估的结果，判断信息系统残余风险是否可接受，并确定是否批准信息系统信息系统残余风险是否可接受，并确定是否批准信息系统投入运行投入运行检查信息系统运行中产生的安全状态报告检查信息系统运行中产生的安

27、全状态报告定期或不定期地开展新的风险评估工作定期或不定期地开展新的风险评估工作4 4、信息安全风险管理的实施、信息安全风险管理的实施、信息安全风险管理的实施、信息安全风险管理的实施第三章第三章 信息安全风险管理信息安全风险管理1 1信息系统拥信息系统拥有者有者制定安全计划，报上级审批制定安全计划，报上级审批组织实施信息系统自评估工作组织实施信息系统自评估工作配合检查评估或委托评估工作，并提供必要的文档等资源配合检查评估或委托评估工作，并提供必要的文档等资源向主管机关提出新一轮风险评估的建议向主管机关提出新一轮风险评估的建议改善信息安全措施，控制信息安全风险改善信息安全措施，控制信息安全风险信息

28、系统承信息系统承建者建者根据对信息系统建设方案的风险评估结果，修正安全方根据对信息系统建设方案的风险评估结果，修正安全方案，使安全方案成本合理、积极有效，在方案中有效地控案，使安全方案成本合理、积极有效，在方案中有效地控制风险制风险规范建设，减少在建设阶段引入的新风险规范建设，减少在建设阶段引入的新风险确保安全组件产品得到了相关机构的认证确保安全组件产品得到了相关机构的认证4 4、信息安全风险管理的实施、信息安全风险管理的实施、信息安全风险管理的实施、信息安全风险管理的实施第三章第三章 信息安全风险管理信息安全风险管理1 1信息系统安信息系统安全评估机构全评估机构提供独立的风险评估提供独立的风

29、险评估对信息系统中的安全措施进行评估，以判断（对信息系统中的安全措施进行评估，以判断（1 1）这些安）这些安全措施在特定运行环境中的有效性；（全措施在特定运行环境中的有效性；（2 2）实现了这些措）实现了这些措施后系统中存在的残余风险施后系统中存在的残余风险提出调整建议，以减少或根除信息系统中的脆弱性，有效提出调整建议，以减少或根除信息系统中的脆弱性，有效对抗安全威胁，控制风险对抗安全威胁，控制风险保护风险评估中获得的敏感信息，防止被无关人员和单位保护风险评估中获得的敏感信息，防止被无关人员和单位获得获得信息系统的信息系统的关联机构关联机构遵守安全策略、法规、合同等涉及信息系统交互行为的安遵守

30、安全策略、法规、合同等涉及信息系统交互行为的安全要求，减少信息安全风险全要求，减少信息安全风险协助风险评估机构确定评估边界协助风险评估机构确定评估边界在风险评估中提供必要的资源和资料在风险评估中提供必要的资源和资料4 4、信息安全风险管理的实施、信息安全风险管理的实施、信息安全风险管理的实施、信息安全风险管理的实施第三章第三章 信息安全风险管理信息安全风险管理1 1风风风风险险险险评评评评估估估估的的的的一一一一般般般般工工工工作作作作流流流流程程程程5 5、信息安全风险管理现状、信息安全风险管理现状、信息安全风险管理现状、信息安全风险管理现状第三章第三章 信息安全风险管理信息安全风险管理1

31、1一、国际信息安全风险管理动态一、国际信息安全风险管理动态（一）美国：独占鳌头，加强控管（一）美国：独占鳌头，加强控管（二）欧洲：不甘落后，重在预防（二）欧洲：不甘落后，重在预防（三）亚太：及时跟进，确保发展（三）亚太：及时跟进，确保发展（四）国际组织：积极配合，重在规范（四）国际组织：积极配合，重在规范5 5、信息安全风险管理现状、信息安全风险管理现状、信息安全风险管理现状、信息安全风险管理现状（一）美国：独占鳌头，加强控管（一）美国：独占鳌头，加强控管u制定了从军政部门、公共部门和私营领域的风险制定了从军政部门、公共部门和私营领域的风险管理政策和指南管理政策和指南u形成了军、政、学、商分工

32、协作的风险管理体系形成了军、政、学、商分工协作的风险管理体系u国防部、商务部、审计署、预算管理等部门各司国防部、商务部、审计署、预算管理等部门各司其职，形成了较为完整的风险分析、评估、监督、其职，形成了较为完整的风险分析、评估、监督、检查问责的工作机制检查问责的工作机制5 5、信息安全风险管理现状、信息安全风险管理现状、信息安全风险管理现状、信息安全风险管理现状DOD：风险评估的领路者：风险评估的领路者u19671967年，年，DODDOD开始研究计算机安全问题。到开始研究计算机安全问题。到19701970年，对当年，对当时的大型机、远程终端作了第一次比较大规模的风险评估。时的大型机、远程终端

33、作了第一次比较大规模的风险评估。u19771977年，年，DoDDoD提出了加强联邦政府和国防系统计算机安全的提出了加强联邦政府和国防系统计算机安全的倡议。倡议。u19871987年，第一次对新发布的年，第一次对新发布的计算机安全法计算机安全法的执行情况进的执行情况进行部门级评估行部门级评估u19971997年，美国国防部发布年，美国国防部发布国防部国防部ITIT安全认证认可过程安全认证认可过程（DITSCAPDITSCAP）；）；20002000年，国家安全委员会发布了年，国家安全委员会发布了国家信息国家信息保障认证和认可过程保障认证和认可过程（NIACAPNIACAP）u20072007年

34、，根据美国的网络安全国家战略计划，对政府各部门年，根据美国的网络安全国家战略计划，对政府各部门的信息安全状况进行更加全面的审计和评估的信息安全状况进行更加全面的审计和评估5 5、信息安全风险管理现状、信息安全风险管理现状、信息安全风险管理现状、信息安全风险管理现状DOC/NIST：风险评估的推动者：风险评估的推动者u20002000年，年，NISTNIST在在联邦联邦ITIT安全评估框架安全评估框架中提出了自中提出了自评估的评估的5 5个级别。并颁布了个级别。并颁布了ITIT系统安全自评估指南系统安全自评估指南（SP 800-26SP 800-26）u20022002年，年，NISTNIST发

35、布了发布了ITIT系统风险管理指南系统风险管理指南（SP SP 800-30800-30）。阐明了风险评估的步骤、风险缓解的控制和）。阐明了风险评估的步骤、风险缓解的控制和评估评价的方法。评估评价的方法。u20022002年，颁布了年，颁布了联邦信息安全管理法案联邦信息安全管理法案（FISMAFISMA），），要求联邦各机构必须进行定期的风险评估。要求联邦各机构必须进行定期的风险评估。5 5、信息安全风险管理现状、信息安全风险管理现状、信息安全风险管理现状、信息安全风险管理现状DOC/NIST：风险评估的推动者：风险评估的推动者u从从20022002年年1010月开始，月开始，NISTNIST

36、先后发布了先后发布了联邦联邦ITIT系统系统安全认证和认可指南安全认证和认可指南（SP 800-37SP 800-37）、）、联邦信息联邦信息和信息系统的安全分类标准和信息系统的安全分类标准（FIPS 199FIPS 199）、）、联联邦邦ITIT系统最小安全控制系统最小安全控制（SP 800-53SP 800-53）、）、将各种将各种信息和信息系统映射到安全类别的指南信息和信息系统映射到安全类别的指南（SP 800-SP 800-6060）等多个文档，以风险思想为基础加强联邦政府）等多个文档，以风险思想为基础加强联邦政府的信息安全。的信息安全。5 5、信息安全风险管理现状、信息安全风险管理现

37、状、信息安全风险管理现状、信息安全风险管理现状学术界：风险评估的探索者学术界：风险评估的探索者 美国政府通过信息安全教育计划鼓励和资助美国政府通过信息安全教育计划鼓励和资助2020多多所著名大学开展与信息安全风险管理相关的研究开发所著名大学开展与信息安全风险管理相关的研究开发和人才培养工作，为风险管理不断输送技术和智力资和人才培养工作，为风险管理不断输送技术和智力资源。源。如卡内基梅隆大学：如卡内基梅隆大学：SSE-CMMSSE-CMM：信息安全工程能力成熟度模型：信息安全工程能力成熟度模型OCTAVEOCTAVE：发布了：发布了OCTAVEOCTAVE框架，属于自主型信框架，属于自主型信息安

38、全风险评估方法。息安全风险评估方法。5 5、信息安全风险管理现状、信息安全风险管理现状、信息安全风险管理现状、信息安全风险管理现状商业界：风险评估的实践者商业界：风险评估的实践者工具工具公司公司成熟度成熟度功能功能标准标准RiskPACRiskPAC美国美国CSCICSCI公公司司成熟产成熟产品品主要进行定性和定主要进行定性和定量风险评估量风险评估RiskWatchRiskWatch美国美国RiskWatRiskWatchch公司公司成熟产成熟产品，有一品，有一定客户群定客户群综合各类相关标准综合各类相关标准进行风险评估和风进行风险评估和风险管理险管理各类信息安各类信息安全相关标准全相关标准X

39、ACTAXACTA美国美国XACTAXACTA公司公司成熟产成熟产品，有一品，有一定客户群定客户群主要依据主要依据NIACAPNIACAP、DITSCAPDITSCAP进行进行C&AC&A过程过程主要依据主要依据ISO 17799ISO 17799、NIACAPNIACAP、DITSCAPDITSCAP5 5、信息安全风险管理现状、信息安全风险管理现状、信息安全风险管理现状、信息安全风险管理现状（二）欧洲：不甘落后，重在预防（二）欧洲：不甘落后，重在预防1 1、“趋利避害趋利避害”一直是欧洲各国在信息化进程中防一直是欧洲各国在信息化进程中防范安全风险的共同策略范安全风险的共同策略2 2、欧陆诸

40、国和英联邦国家在风险管理上一直在探、欧陆诸国和英联邦国家在风险管理上一直在探索走不同于美国的道路索走不同于美国的道路3 3、欧盟投资、多国共同推动的、欧盟投资、多国共同推动的CORASCORAS项目充满欧项目充满欧洲理性思想的光芒，值得关注洲理性思想的光芒，值得关注5 5、信息安全风险管理现状、信息安全风险管理现状、信息安全风险管理现状、信息安全风险管理现状英国：英国：BS7799享誉全球享誉全球u英国英国BSIBSI推出推出BS 7799BS 7799，分为两个部分：，分为两个部分：“BS7799-BS7799-1:1999 1:1999 信息安全管理实施细则信息安全管理实施细则”、“BS7

41、799-BS7799-2:2002 2:2002 信息安全管理体系规范信息安全管理体系规范”，u英国英国CCTACCTA开发了开发了CRAMMCRAMM风险评估工具，完全遵风险评估工具，完全遵循循BS7799BS7799。u英国英国C&AC&A系统安全公司推出了系统安全公司推出了COBRACOBRA（Consultative,Objective and Bi-functional Risk Consultative,Objective and Bi-functional Risk AnalysisAnalysis）工具，由一系列风险分析、咨询和安全）工具，由一系列风险分析、咨询和安全评价工具组

42、成。评价工具组成。5 5、信息安全风险管理现状、信息安全风险管理现状、信息安全风险管理现状、信息安全风险管理现状德国：日尔曼人的德国：日尔曼人的“基线基线”防御防御u德国联邦德国联邦ITIT基线防护手册（基线防护手册（ITBPMITBPM）以严谨、以严谨、周密而得名；周密而得名；u1991 1991 年，德国建立信息安全局年，德国建立信息安全局(BSI)(BSI)，主要负责政，主要负责政府部门的信息安全风险管理和评估工作。府部门的信息安全风险管理和评估工作。u19971997年，颁布年，颁布信息和通信服务规范法信息和通信服务规范法u风险评估在方法上基本遵循风险评估在方法上基本遵循BSBS 77

43、997799。5 5、信息安全风险管理现状、信息安全风险管理现状、信息安全风险管理现状、信息安全风险管理现状欧盟的欧盟的CORAS项目项目u20012001年至年至20032003年，欧盟投资，四个欧洲国家（德年，欧盟投资，四个欧洲国家（德国、希腊、英国、挪威）的国、希腊、英国、挪威）的11 11个机构，历时个机构，历时3 3年时年时间，完成了安全关键系统的风险分析平台项目间，完成了安全关键系统的风险分析平台项目CORASCORAS，使用，使用UMLUML建模技术，开发了一个面向对建模技术，开发了一个面向对象建模技术的风险评估框架。象建模技术的风险评估框架。u一期完成之后，欧盟继续投资为期三年

44、的二期项一期完成之后，欧盟继续投资为期三年的二期项目目COMACOMA，20072007年完成。年完成。5 5、信息安全风险管理现状、信息安全风险管理现状、信息安全风险管理现状、信息安全风险管理现状CORASCORAS：欧洲经典欧洲经典（三）亚太：及时跟进，确保发展（三）亚太：及时跟进，确保发展u日本：在风险管理方面综合美国和英国的做法，日本：在风险管理方面综合美国和英国的做法，建立了建立了“安全管理系统评估制度安全管理系统评估制度”(ISMS)(ISMS)，作为，作为日本标准日本标准 (JIS)(JIS)，启用了，启用了ISOISOIECl7799-1(BS7799)IECl7799-1(B

45、S7799)；u韩国：主要参照美国的政策和方法；韩国：主要参照美国的政策和方法；u新加坡：主要参照英国的做法，在信息安全风险新加坡：主要参照英国的做法，在信息安全风险评估方面依据评估方面依据BSBS 77997799。5 5、信息安全风险管理现状、信息安全风险管理现状、信息安全风险管理现状、信息安全风险管理现状I IS SO O：专专业业的的普普通通话话uISO/IEC 13335ISO/IEC 13335ITIT安全管理指南安全管理指南uISO/IEC 17799ISO/IEC 17799uISOISO 2700027000系列系列uISOISO 2700027000 信息安全管理体系基本原

46、理和词汇信息安全管理体系基本原理和词汇uISOISO 2700127001 信息安全管理体系要求信息安全管理体系要求uISOISO 2700227002 信息安全管理实践准则信息安全管理实践准则uISOISO 2700327003 信息安全管理实施指南信息安全管理实施指南uISOISO 2700427004 信息安全管理的度量指标和衡量信息安全管理的度量指标和衡量uISOISO 2700527005 信息安全风险管理指南信息安全风险管理指南uISOISO 2700627006 信息和通信技术灾难恢复和服务指南信息和通信技术灾难恢复和服务指南uISO/IEC 21827:2002(SSE-CMM

47、)ISO/IEC 21827:2002(SSE-CMM)：信息安全工程能力成熟度模型：信息安全工程能力成熟度模型uISO/IEC 15408ISO/IEC 15408：IT IT 安全评估通用准则（安全评估通用准则（CCCC）5 5、信息安全风险管理现状、信息安全风险管理现状、信息安全风险管理现状、信息安全风险管理现状ITU：产业的风向标产业的风向标u在安全体系和框架方面主要维护在安全体系和框架方面主要维护X.8xxX.8xx系列标准：系列标准：u在信息安全管理方面已发布：在信息安全管理方面已发布：ITU-TX.1051ITU-TX.1051信息安全信息安全管理系统管理系统通信需求（通信需求（

48、ISMS-TISMS-T）u在在安全通讯业务安全通讯业务方面涉及方面涉及所有网络与信息安全，主要所有网络与信息安全，主要集中在移动通信安全、集中在移动通信安全、P2PP2P安全认证、安全认证、WebWeb服务安全服务安全等等。等等。u已发布标准已发布标准“ITU-TX.1121ITU-TX.1121移动端到端数据通信安全技移动端到端数据通信安全技术框架术框架”、“ITU-TX.1121ITU-TX.1121基于基于PKIPKI实施安全移动系统实施安全移动系统指南。指南。”5 5、信息安全风险管理现状、信息安全风险管理现状、信息安全风险管理现状、信息安全风险管理现状二、国内信息安全风险管理情况二

49、、国内信息安全风险管理情况（一）总体态势：起步较晚，发展很快（一）总体态势：起步较晚，发展很快（一）总体态势：起步较晚，发展很快（一）总体态势：起步较晚，发展很快（二）市场状况：需求迫切，形势喜人（二）市场状况：需求迫切，形势喜人（二）市场状况：需求迫切，形势喜人（二）市场状况：需求迫切，形势喜人5 5、信息安全风险管理现状、信息安全风险管理现状、信息安全风险管理现状、信息安全风险管理现状（一）总体态势：起步较晚，发展较快（一）总体态势：起步较晚，发展较快1.国信办从国家层面强力推动国信办从国家层面强力推动2.各部委各司其职，积极呼应各部委各司其职，积极呼应3.国内企业在技术、服务方面及时跟进

50、国内企业在技术、服务方面及时跟进4.国外企业利用技术和市场优势乘势而入国外企业利用技术和市场优势乘势而入5 5、信息安全风险管理现状、信息安全风险管理现状、信息安全风险管理现状、信息安全风险管理现状国信办强力推动国信办强力推动u20032003年，年，2727号文，强调号文，强调“要重视信息安全风险评估工作要重视信息安全风险评估工作”u20042004年，完成风险评估研究报告与标准草案年，完成风险评估研究报告与标准草案u20052005年，开展风险评估试点工作年，开展风险评估试点工作u20062006年月，出台年月，出台5 5号文件，提出开展信息安全风险评估工作号文件，提出开展信息安全风险评估