信息安全風險評估國家標準編製與內容(ppt 61頁)

信息安全風險評估國家標準編製與內容目錄：
一、標準的編製過程
二、標準的主要內容
三、下一步工作的幾點思考

信息安全風險評估國家標準編製與內容內容提要：
1、前期研究準備
某年7月, 中辦發[2003]27號文件對開展信息安全風險評估工作提出了明確的要求。國信辦委托國家信息中心牽頭，成立了國家信息安全風險評估課題組，對信息安全風險評估相關工作展開調查研究。課題組利用半年多的時間，對我國信息安全風險評估現狀進行了深入調查，掌握了第一手情況；對國內外相關領域的理論進行了學習、分析和研究，查閱了大量的相關資料，基本了解了此領域的國際前沿動態。這些都為標準編製工作奠定了良好的基礎。
統一的風險評估技術標準是規範開展信息安全風險評估工作的必備條件。落實中辦發27號文件、全麵推進我國的信息安全風險評估工作，首先就必須解決我國缺乏統一的風險評估技術標準的問題。
為此，國信辦領導根據專家們的建議，決定著手開展信息安全風險評估國家標準的編製工作及相關實踐活動。旨在通過這項工作更好地加強國家基礎網絡和重要信息係統的風險評估及管理工作，使其流程更加科學、統一、規範、有效。　
2、標準草案編製
根據國信辦的指示和信安標委的具體要求，國家信息中心組織國家保密技術研究所、公安部三所、北京信息安全測評中心、上海市測評認證中心、信息安全國家重點實驗室以及BJCA、上海三零衛士、聯想、天融信、啟明星辰、綠盟、科飛、凝瑞等國內十幾家企事業單位於2004年3月29日正式啟動標準草案的編製工作。此後，中國信息安全產品測評認證中心、解放軍信息技術安全研究中心、航天部二院七O六所等單位也參與了標準的編製與起草。
起草組在前期準備工作的基礎上，經過多次研究探討，確定了編製標準應遵循的原則:
1 、符合我國現行的信息安全有關法律法規的要求，認真貫徹落實27號文件關於加強信息安全風險評估工作的精神；
2 、立足於我國信息化建設實踐，積極借鑒國際先進標準的技術，提出符合我國基礎網絡和重要信息係統工程建設需求的風險評估規範；
3 、針對網絡與信息係統的全生命周期，製訂適應不同階段特點和要求的風險評估實施方法；
4 、積極吸收信息安全有關主管部門和單位在等級保護、保密檢查和產品測評等工作的經驗與成果；
5 、標準文本體係結構科學合理，表述清晰，具有可實現性和可操作性。

..............................