【正文】 為中的信息安全風險，并了解其有責任遵循機構的風險控制政策和流程。 ? 對信息安全政策、流程、實踐措施和安全控制的有效性所實施的定期測試和評估。這些測試和評估的實施頻率取決于風險本身，但至少每年要實施一次。 ? 對矯正措施進行規(guī)劃、實現(xiàn)、評估和記錄的過程，用于處理聯(lián)邦機構信息安全政策、流程和實踐中所出現(xiàn)的任何缺陷。 ? 對安全事件進行檢測、報告和響應的流程。 ? 用來確保信息系統(tǒng)運行的連續(xù)性的計劃和流程。 ? 2022年 2月，美國國家安全局（ NSA ）頒布了 《 信息安全評估能力成熟度模型 》 （ IACMM） 。 提出了包括評估信息安全風險在內(nèi)的 9個過程域和 29個子域。描述了與之有關的能力成熟度的五個級別。 ? 2022年 10月， NIST發(fā)布了 《 聯(lián)邦 IT系統(tǒng)安全認證和認可指南 》（ SP 80037）的第 。 ? 2022年 6月， NIST發(fā)布了 《 聯(lián)邦 IT系統(tǒng)安全認證和認可指南 》（ SP 80037）的第 。 ? 2022年 9月 NIST發(fā)布了 FIPS 199： 《 聯(lián)邦信息和信息系統(tǒng)的安全分類標準 》 。 ? 2022年 10月 NIST發(fā)布了 NIST 80037的伴隨文檔： NIST SP 80053《 聯(lián)邦 IT系統(tǒng)最小安全控制 》 ，提出了管理、運行、技術三大類 18族 100多項安全控制。 ? 其他有關 NIST SP 80037的伴隨文檔： NIST SP 80053A《 聯(lián)邦 IT系統(tǒng)安全控制驗證技術和流程 》 、 NIST SP 80060《 如何將各種信息和信息系統(tǒng)映射到安全類別中的指南 》 正在制定之中。 NIST已經(jīng)若干次推遲了這些文檔的預計發(fā)布日期，根據(jù)最新的進度，上述文檔在 2022年才能全部定稿。 NIST認證認可系列指南的相互關系 NIST FIPS 199 信息系統(tǒng)的安全分類 NIST SP 80053 安全控制 NIST SP 80053A 安全控制的驗證技術和流程 NIST SP 80037 定義了標準的信息系統(tǒng)安全認證認可方法 風險評估 安全計劃 更新后的安全計劃 安全測試和評估報告 最終的風險評估報告 NIST SP 80060 信息系統(tǒng)安全類別的映射 運行環(huán)境認可機構? 標準? 指南? 認證? 認可實際的威脅和脆弱性? 風險管理? 安全策略? 系統(tǒng)安全計劃? 人員安全? 流程安全? 物理安全技術性安全具體的 IT 系統(tǒng)產(chǎn)品通用子系統(tǒng)系統(tǒng)級保護輪廓實驗室環(huán)境NI S T CM V PNIA P CC E V S經(jīng)認可的測試實驗室產(chǎn)品輪廓經(jīng)過認證的產(chǎn)品證據(jù)? 安全目標? 評估報告? 認證報告F I P S 140 2 測試密碼模塊CC 評估IT 產(chǎn)品保護輪廓? 特點： ? 隨著信息保障的研究的深入，關注的安全屬性擴大到了保密性、完整性、可用性、可認證性、不可否認性五個方面；保障對象明確為信息、信息系統(tǒng)；保障能力明確來源于技術、管理和人員三個方面；關注局域計算環(huán)境、邊界與外部連接、網(wǎng)絡基礎設施；以保護、檢測、反應、恢復四個工作環(huán)節(jié)形成支撐條件，構建縱深防御體系。認識到 CC和 FIPS 1402等標準僅僅適合安全產(chǎn)品的測評認證。對于信息系統(tǒng)則需要確立新的包括非技術因素的全面評估。逐步形成了風險評估、自評估、認證認可的工作思路，而風險評估工作貫穿于認證認可工作的各個階段中，且實現(xiàn)了制度化。 ? 風險評估已經(jīng)成為一種通用的方法學和基礎理論，應用到了廣泛的信息安全實踐工作之中。 其他國家和地區(qū)的情況 ? 英國標準化協(xié)會（ BSI） 1995年頒布了 《 信息安全管理指南 》（ BS 7799）， BS 7799分為兩個部分： BS 77991《 信息安全管理實施規(guī)則 》 和 BS 77992《 信息安全管理體系規(guī)范 》 。 2022年又頒布了 《 信息安全管理系統(tǒng)規(guī)范說明 》 （ BS 77992:2022）。它將信息安全管理的有關問題劃分成了10個控制要項、 36 個控制目標和 127 個控制措施。目前，在 BS77992中，提出了如何了建立信息安全管理體系的步驟。 ? 在信息安全管理體系的核心部位是風險評估和風險管理。目前，全球通過 BS7799認證的數(shù)量已達到 282家，其中絕大部分分布在歐洲和亞洲，整個中國地區(qū)（包括香港和臺灣在內(nèi)）通過 BS7799認證的數(shù)量已有 18家。 ? 德國的聯(lián)邦信息技術安全局的信息安全管理是通過他們 2022年 7月頒布和不斷更新的 《 信息技術基線保護手冊 》 （ IT Baseline Protection Manual (ITBPM or BPM)）來加以指導的。BPM比英國的 BS 7799更加詳細地對威脅和安全措施加以了分類，具體地開列威脅清單和安全措施清單，并通過維護網(wǎng)上更新來實現(xiàn)與時俱進的安全需求。該文將威脅目錄分為五類 272種（嚴重影響13種，機構缺陷 67種，人為故障 47種，技術故障 43種，故意行為 102種），安全措施目錄分為六類 607種（基礎設施類 57種，機構類 226種，個人類 26種，軟件和硬件類 135種，通信類 88種，意外事故計劃類 75種）。 ? 澳大利亞 /新西蘭風險管理準則聯(lián)合委員會于1995年頒布了世界上第一部風險管理的正式標準：AS/NZS4360。這是一個針對普遍風險（而非信息安全風險）的風險管理標準，成為關注一般風險管理的人員的通用準則。 AS/NZS4360在1999年又頒布了其修改版本。澳大利亞的經(jīng)驗表明：這些準則雖然不能直接為內(nèi)部審計人員提供一個風險模型，但卻為產(chǎn)生風險模型奠定了基礎。 ? 加拿大風險管理準則委員會于 1997年頒布了 《 風險管理：決策者的指導 》 （ AN/CSAQ85097）。 ? 國際標準化組織在信息安全管理方面，早在1996年就開始制定 《 信息技術 信息安全管理指南 》 （ ISO/IEC 13335），它分成《 信息安全的概念和模型 》 、 《 信息安全管理和規(guī)劃 》 、 《 信息安全管理技術 》 、 《 基線方法 》 、 《 網(wǎng)絡安全管理指南 》 五個部分。其后，國際標準化組織又通過了依據(jù) BS 77991制定的 《 信息安全管理實施指南 》（ ISO/IEC 17779:2022），提出了基于風險管理的信息安全管理體系。 ? 綜觀國際情況，信息安全風險評估經(jīng)歷了一個從只重技術到技術、管理并重的全面評估，從單機到網(wǎng)絡再到信息系統(tǒng)基礎設施，從單一安全屬性到多種安全屬性發(fā)展。當前，正在信息保障的概念下，還處在不斷深化完善之中。 ? 總體上看，雖然傳統(tǒng)的風險評估不是一個陌生問題。但是信息系統(tǒng)的安全風險評估在國際上仍是一個尚在探討的未決問題。美國國家安全局的有關領導曾檢討道，橘皮書時代提出過軍隊和政府的信息系統(tǒng)在某個時段應達到某個安全級別的要求，但是，實際上他們僅僅落實了一批經(jīng)過測評認證的安全產(chǎn)品，而系統(tǒng)安全什么也沒有作到。近年來，美國的信息安全研究人員正加緊工作，計劃在國家標準和技術研究所（ NIST）制定的以 SP 80037為核心的配套指南完善后，于 2022年開展新一輪的聯(lián)邦信息系統(tǒng)認證認可工作。 我國信息系統(tǒng)安全風險評估 的現(xiàn)狀和問題 ? 我國的信息系統(tǒng)安全評估工作是隨著對信息安全問題的認識的逐步深化不斷發(fā)展的。早期的信息安全工作中心是信息保密，通過保密檢查來發(fā)現(xiàn)問題，改進提高。 80年代后，隨著計算機的推廣應用，隨即提出了計算機安全的問題，開展了計算機安全檢查工作。但是，當時缺乏風險意識，在領導和信息系統(tǒng)管理者的思想中，通常追求的是萬無一失、絕對安全。 ? 90年代后，隨著互連網(wǎng)在我國得到了廣泛的社會化應用，國際大環(huán)境的信息安全問題和信息戰(zhàn)的威脅直接在我國的信息環(huán)境中有所反映。 1994年 2月頒布的 《 中華人民共和國計算機信息系統(tǒng)安全保護條例 》 提出了計算機信息系統(tǒng)實行安全等級保護的要求。其后，在有關部門的組織下，不斷開展了有關等級保護評價準則、安全產(chǎn)品的測評認證、系統(tǒng)安全等級劃分指南的研究，初步提出了一系列相關技術標準和管理規(guī)范。信息安全的風險意識也開始建立，并逐步有所加強。 ? 目前，就信息安全保障的主管機關而言，國家保密管理部門，由于有優(yōu)良的工作傳統(tǒng)、組織機構和國家保密法的依據(jù)，思想明確，技術規(guī)范相對齊全，工作力度比較強，到位情況比較好。 ? 計算機網(wǎng)絡安全管理部門經(jīng)過二十多年的探索準備以及對犯罪案件和安全事件的偵破處理，積累了經(jīng)驗和知識，組織制定了一系列的技術標準，正在為實施計算機信息系統(tǒng)安全的等級保護制度進行試點和政策性文件的準備。 ? 但密碼管理、保密管理、計算機網(wǎng)絡信息安全管理、信息內(nèi)容安全管理等部門的協(xié)調(diào)協(xié)同還有待加強。 從本課題調(diào)研的情況看，我國各個部門和行業(yè)對信息安全風險評估的認識和開展的情況是不平衡的。國內(nèi)現(xiàn)階段風險評估的狀況，可分為以下幾類： ? 一是有認識、有行動、有措施、有效果； ? 二是有認識、有行動但措施不當； ? 三是有認識、無行動、無措施； ? 四是無認識、無行動、無措施。 國家部門建立的測評認證機構： 在國家標準 GB 178591999和 GB/T 183362022的原則指