【正文】 為中的信息安全風(fēng)險，并了解其有責(zé)任遵循機(jī)構(gòu)的風(fēng)險控制政策和流程。 ? 對信息安全政策、流程、實(shí)踐措施和安全控制的有效性所實(shí)施的定期測試和評估。這些測試和評估的實(shí)施頻率取決于風(fēng)險本身，但至少每年要實(shí)施一次。 ? 對矯正措施進(jìn)行規(guī)劃、實(shí)現(xiàn)、評估和記錄的過程，用于處理聯(lián)邦機(jī)構(gòu)信息安全政策、流程和實(shí)踐中所出現(xiàn)的任何缺陷。 ? 對安全事件進(jìn)行檢測、報告和響應(yīng)的流程。 ? 用來確保信息系統(tǒng)運(yùn)行的連續(xù)性的計劃和流程。 ? 2022年 2月，美國國家安全局（ NSA ）頒布了 《 信息安全評估能力成熟度模型 》 （ IACMM） 。 提出了包括評估信息安全風(fēng)險在內(nèi)的 9個過程域和 29個子域。描述了與之有關(guān)的能力成熟度的五個級別。 ? 2022年 10月， NIST發(fā)布了 《 聯(lián)邦 IT系統(tǒng)安全認(rèn)證和認(rèn)可指南 》（ SP 80037）的第 。 ? 2022年 6月， NIST發(fā)布了 《 聯(lián)邦 IT系統(tǒng)安全認(rèn)證和認(rèn)可指南 》（ SP 80037）的第 。 ? 2022年 9月 NIST發(fā)布了 FIPS 199： 《 聯(lián)邦信息和信息系統(tǒng)的安全分類標(biāo)準(zhǔn) 》 。 ? 2022年 10月 NIST發(fā)布了 NIST 80037的伴隨文檔： NIST SP 80053《 聯(lián)邦 IT系統(tǒng)最小安全控制 》 ，提出了管理、運(yùn)行、技術(shù)三大類 18族 100多項(xiàng)安全控制。 ? 其他有關(guān) NIST SP 80037的伴隨文檔： NIST SP 80053A《 聯(lián)邦 IT系統(tǒng)安全控制驗(yàn)證技術(shù)和流程 》 、 NIST SP 80060《 如何將各種信息和信息系統(tǒng)映射到安全類別中的指南 》 正在制定之中。 NIST已經(jīng)若干次推遲了這些文檔的預(yù)計發(fā)布日期，根據(jù)最新的進(jìn)度，上述文檔在 2022年才能全部定稿。 NIST認(rèn)證認(rèn)可系列指南的相互關(guān)系 NIST FIPS 199 信息系統(tǒng)的安全分類 NIST SP 80053 安全控制 NIST SP 80053A 安全控制的驗(yàn)證技術(shù)和流程 NIST SP 80037 定義了標(biāo)準(zhǔn)的信息系統(tǒng)安全認(rèn)證認(rèn)可方法 風(fēng)險評估 安全計劃 更新后的安全計劃 安全測試和評估報告 最終的風(fēng)險評估報告 NIST SP 80060 信息系統(tǒng)安全類別的映射 運(yùn)行環(huán)境認(rèn)可機(jī)構(gòu)? 標(biāo)準(zhǔn)? 指南? 認(rèn)證? 認(rèn)可實(shí)際的威脅和脆弱性? 風(fēng)險管理? 安全策略? 系統(tǒng)安全計劃? 人員安全? 流程安全? 物理安全技術(shù)性安全具體的 IT 系統(tǒng)產(chǎn)品通用子系統(tǒng)系統(tǒng)級保護(hù)輪廓實(shí)驗(yàn)室環(huán)境NI S T CM V PNIA P CC E V S經(jīng)認(rèn)可的測試實(shí)驗(yàn)室產(chǎn)品輪廓經(jīng)過認(rèn)證的產(chǎn)品證據(jù)? 安全目標(biāo)? 評估報告? 認(rèn)證報告F I P S 140 2 測試密碼模塊CC 評估IT 產(chǎn)品保護(hù)輪廓? 特點(diǎn)： ? 隨著信息保障的研究的深入，關(guān)注的安全屬性擴(kuò)大到了保密性、完整性、可用性、可認(rèn)證性、不可否認(rèn)性五個方面；保障對象明確為信息、信息系統(tǒng)；保障能力明確來源于技術(shù)、管理和人員三個方面；關(guān)注局域計算環(huán)境、邊界與外部連接、網(wǎng)絡(luò)基礎(chǔ)設(shè)施；以保護(hù)、檢測、反應(yīng)、恢復(fù)四個工作環(huán)節(jié)形成支撐條件，構(gòu)建縱深防御體系。認(rèn)識到 CC和 FIPS 1402等標(biāo)準(zhǔn)僅僅適合安全產(chǎn)品的測評認(rèn)證。對于信息系統(tǒng)則需要確立新的包括非技術(shù)因素的全面評估。逐步形成了風(fēng)險評估、自評估、認(rèn)證認(rèn)可的工作思路，而風(fēng)險評估工作貫穿于認(rèn)證認(rèn)可工作的各個階段中，且實(shí)現(xiàn)了制度化。 ? 風(fēng)險評估已經(jīng)成為一種通用的方法學(xué)和基礎(chǔ)理論，應(yīng)用到了廣泛的信息安全實(shí)踐工作之中。 其他國家和地區(qū)的情況 ? 英國標(biāo)準(zhǔn)化協(xié)會（ BSI） 1995年頒布了 《 信息安全管理指南 》（ BS 7799）， BS 7799分為兩個部分： BS 77991《 信息安全管理實(shí)施規(guī)則 》 和 BS 77992《 信息安全管理體系規(guī)范 》 。 2022年又頒布了 《 信息安全管理系統(tǒng)規(guī)范說明 》 （ BS 77992:2022）。它將信息安全管理的有關(guān)問題劃分成了10個控制要項(xiàng)、 36 個控制目標(biāo)和 127 個控制措施。目前，在 BS77992中，提出了如何了建立信息安全管理體系的步驟。 ? 在信息安全管理體系的核心部位是風(fēng)險評估和風(fēng)險管理。目前，全球通過 BS7799認(rèn)證的數(shù)量已達(dá)到 282家，其中絕大部分分布在歐洲和亞洲，整個中國地區(qū)（包括香港和臺灣在內(nèi)）通過 BS7799認(rèn)證的數(shù)量已有 18家。 ? 德國的聯(lián)邦信息技術(shù)安全局的信息安全管理是通過他們 2022年 7月頒布和不斷更新的 《 信息技術(shù)基線保護(hù)手冊 》 （ IT Baseline Protection Manual (ITBPM or BPM)）來加以指導(dǎo)的。BPM比英國的 BS 7799更加詳細(xì)地對威脅和安全措施加以了分類，具體地開列威脅清單和安全措施清單，并通過維護(hù)網(wǎng)上更新來實(shí)現(xiàn)與時俱進(jìn)的安全需求。該文將威脅目錄分為五類 272種（嚴(yán)重影響13種，機(jī)構(gòu)缺陷 67種，人為故障 47種，技術(shù)故障 43種，故意行為 102種），安全措施目錄分為六類 607種（基礎(chǔ)設(shè)施類 57種，機(jī)構(gòu)類 226種，個人類 26種，軟件和硬件類 135種，通信類 88種，意外事故計劃類 75種）。 ? 澳大利亞 /新西蘭風(fēng)險管理準(zhǔn)則聯(lián)合委員會于1995年頒布了世界上第一部風(fēng)險管理的正式標(biāo)準(zhǔn)：AS/NZS4360。這是一個針對普遍風(fēng)險（而非信息安全風(fēng)險）的風(fēng)險管理標(biāo)準(zhǔn)，成為關(guān)注一般風(fēng)險管理的人員的通用準(zhǔn)則。 AS/NZS4360在1999年又頒布了其修改版本。澳大利亞的經(jīng)驗(yàn)表明：這些準(zhǔn)則雖然不能直接為內(nèi)部審計人員提供一個風(fēng)險模型，但卻為產(chǎn)生風(fēng)險模型奠定了基礎(chǔ)。 ? 加拿大風(fēng)險管理準(zhǔn)則委員會于 1997年頒布了 《 風(fēng)險管理：決策者的指導(dǎo) 》 （ AN/CSAQ85097）。 ? 國際標(biāo)準(zhǔn)化組織在信息安全管理方面，早在1996年就開始制定 《 信息技術(shù) 信息安全管理指南 》 （ ISO/IEC 13335），它分成《 信息安全的概念和模型 》 、 《 信息安全管理和規(guī)劃 》 、 《 信息安全管理技術(shù) 》 、 《 基線方法 》 、 《 網(wǎng)絡(luò)安全管理指南 》 五個部分。其后，國際標(biāo)準(zhǔn)化組織又通過了依據(jù) BS 77991制定的 《 信息安全管理實(shí)施指南 》（ ISO/IEC 17779:2022），提出了基于風(fēng)險管理的信息安全管理體系。 ? 綜觀國際情況，信息安全風(fēng)險評估經(jīng)歷了一個從只重技術(shù)到技術(shù)、管理并重的全面評估，從單機(jī)到網(wǎng)絡(luò)再到信息系統(tǒng)基礎(chǔ)設(shè)施，從單一安全屬性到多種安全屬性發(fā)展。當(dāng)前，正在信息保障的概念下，還處在不斷深化完善之中。 ? 總體上看，雖然傳統(tǒng)的風(fēng)險評估不是一個陌生問題。但是信息系統(tǒng)的安全風(fēng)險評估在國際上仍是一個尚在探討的未決問題。美國國家安全局的有關(guān)領(lǐng)導(dǎo)曾檢討道，橘皮書時代提出過軍隊(duì)和政府的信息系統(tǒng)在某個時段應(yīng)達(dá)到某個安全級別的要求，但是，實(shí)際上他們僅僅落實(shí)了一批經(jīng)過測評認(rèn)證的安全產(chǎn)品，而系統(tǒng)安全什么也沒有作到。近年來，美國的信息安全研究人員正加緊工作，計劃在國家標(biāo)準(zhǔn)和技術(shù)研究所（ NIST）制定的以 SP 80037為核心的配套指南完善后，于 2022年開展新一輪的聯(lián)邦信息系統(tǒng)認(rèn)證認(rèn)可工作。 我國信息系統(tǒng)安全風(fēng)險評估 的現(xiàn)狀和問題 ? 我國的信息系統(tǒng)安全評估工作是隨著對信息安全問題的認(rèn)識的逐步深化不斷發(fā)展的。早期的信息安全工作中心是信息保密，通過保密檢查來發(fā)現(xiàn)問題，改進(jìn)提高。 80年代后，隨著計算機(jī)的推廣應(yīng)用，隨即提出了計算機(jī)安全的問題，開展了計算機(jī)安全檢查工作。但是，當(dāng)時缺乏風(fēng)險意識，在領(lǐng)導(dǎo)和信息系統(tǒng)管理者的思想中，通常追求的是萬無一失、絕對安全。 ? 90年代后，隨著互連網(wǎng)在我國得到了廣泛的社會化應(yīng)用，國際大環(huán)境的信息安全問題和信息戰(zhàn)的威脅直接在我國的信息環(huán)境中有所反映。 1994年 2月頒布的 《 中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例 》 提出了計算機(jī)信息系統(tǒng)實(shí)行安全等級保護(hù)的要求。其后，在有關(guān)部門的組織下，不斷開展了有關(guān)等級保護(hù)評價準(zhǔn)則、安全產(chǎn)品的測評認(rèn)證、系統(tǒng)安全等級劃分指南的研究，初步提出了一系列相關(guān)技術(shù)標(biāo)準(zhǔn)和管理規(guī)范。信息安全的風(fēng)險意識也開始建立，并逐步有所加強(qiáng)。 ? 目前，就信息安全保障的主管機(jī)關(guān)而言，國家保密管理部門，由于有優(yōu)良的工作傳統(tǒng)、組織機(jī)構(gòu)和國家保密法的依據(jù)，思想明確，技術(shù)規(guī)范相對齊全，工作力度比較強(qiáng)，到位情況比較好。 ? 計算機(jī)網(wǎng)絡(luò)安全管理部門經(jīng)過二十多年的探索準(zhǔn)備以及對犯罪案件和安全事件的偵破處理，積累了經(jīng)驗(yàn)和知識，組織制定了一系列的技術(shù)標(biāo)準(zhǔn)，正在為實(shí)施計算機(jī)信息系統(tǒng)安全的等級保護(hù)制度進(jìn)行試點(diǎn)和政策性文件的準(zhǔn)備。 ? 但密碼管理、保密管理、計算機(jī)網(wǎng)絡(luò)信息安全管理、信息內(nèi)容安全管理等部門的協(xié)調(diào)協(xié)同還有待加強(qiáng)。 從本課題調(diào)研的情況看，我國各個部門和行業(yè)對信息安全風(fēng)險評估的認(rèn)識和開展的情況是不平衡的。國內(nèi)現(xiàn)階段風(fēng)險評估的狀況，可分為以下幾類： ? 一是有認(rèn)識、有行動、有措施、有效果； ? 二是有認(rèn)識、有行動但措施不當(dāng)； ? 三是有認(rèn)識、無行動、無措施； ? 四是無認(rèn)識、無行動、無措施。 國家部門建立的測評認(rèn)證機(jī)構(gòu)： 在國家標(biāo)準(zhǔn) GB 178591999和 GB/T 183362022的原則指