《信息安全风险相关政策与标准.docx》由会员分享,可在线阅读,更多相关《信息安全风险相关政策与标准.docx(8页珍藏版)》请在优知文库上搜索。
1、信息安全国家政策及标准培训信息安全风险相关政策与标准*了解我国有关信息安全风险管理的政策要求“了解信息安全风险管理相关的国内外标准Page23我国有关信息安全风险管理的政策要求200327号)明确提出要重视信息安全风险评估工作,将风险评估作为提高我国信息安全保障水平的一项重要举措窗于开展信息安全风险评估工作的意见(国1己刃20065号),就信息安全风险评估工作的基本内容和原则,以及开展信息安全风险评估工作的有关安排等做出规定和部署程建设项目信息安发改高技20082071号),规范了国家电子政务工程建设项目信息安全风险评估工作Page24关于开展信息安全风险评估工作的意见(国信办20065号)实
2、施要求*信息席翎险理估工作应当贯穿信息系统全生命周期。规戈IJ设计阶段、验收时均应实施风险评估;运行后应定期实施座通填隼息袤金风险评估为信息系统确定安全等级提供依据,根据风险评估的结果检验网络与信息系统的防护水平是否符合等级保护的要求-风险评估的基本内容和原则风险评估工作的基本要求开展风险评估工作的有关安排Page25关于开展信息安全风险评估工作的意见(国信办20065号)的实施要求三鹭电工风险评估工作而引入新的安全风险,必须高度重息女全风险评估的组织管理工作。要求: 参与信息安全风险评估工作的单位及其有关人员必须遵守国家有关信息安全的法律法规,并承担相应的责任和义务 风险评估工作的发起方必须
3、采取相应保密措施,并与参与评估的有关单位或人员签订具有法律约束力的保密协议 对关系国计民生和社会稳定的基础信息网络和重要信息系统的信息安全风险评估工作必须遵循国家的有关规定进行Page26信息安全风险管理相关的国内外标准 :GB/T20984-2007信息安全风险评估规范 GB/Z24364-2009信息安全风险管理指南 ISO/IEC27005:2011信息安全风险管理ISOGUIDE73:2009风险管理一术语 18031000:2009风险管理一主要原则和指南IEC/ISO31010:2009风险管理一风险评估技术 NISTSP800-30(2012)实施风险评估指南 NISTSP800-39(2011)管理信息安全风险:组织、使命和信息系统梗概 NISTSP800-37(2010)联邦信息系统应用风险管理框架指南:安全生命周期方法 NISTSP800-53(2010)为联邦信息系统和组织推荐的安全控制措施NISTSP800-53A(2010)联邦信息系统和组织安全控制措施评估指南:建立有效的安全评估计划谢谢