文档介绍:国信办信息安全风险评估上海试点工作验收材料之四——信息安全风险评估管理软件研制报告上海市信息安全测评认证中心二OO五年八月目录一、项目背景 2二、系统开发目标 3三、设计原则 4四、研制过程 5五、下一步工作 8一、项目背景纵观国际经济形势,随着信息技术突飞猛进的发展,信息化已成为当今世界的潮流,信息产业已成为社会经济发展的基础。它的发展正在进一步引起社会、经济乃至人们生活方式的急剧变革。当前我国的信息化建设已进入高速发展期,电子政务,电子商务,网络经济等的兴起,这些与国民经济、社会稳定息息相关的领域急需信息安全保障。随着信息化的发展与应用的普及,信息安全问题越来越突出,许多重要应用领域越来越依赖于计算机信息系统,这就必不可免地带来很多安全风险,对系统和组织造成巨大影响。因此实施信息安全风险管理,有效控制安全风险是建立信息安全保障体系的重要举措,而信息安全风险评估则是实施信息安全风险管理的基础,也是信息安全建设的有效的评价方法和决策机制,对于完善我国的信息安全保障体系建设,促进信息化建设具有重大意义。为贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发27号文),国务院信息化办公室于2005年组织在北京、上海、黑龙江、云南等地方以及银行、税务、电力等重要行业开展信息安全风险评估试点工作。根据国务院信息化工作办公室《关于印发<信息安全风险评估试点工作方案>的通知》(国信办【2005】5号),上海市选定了上海市信息安全测评认证中心(以下简称上海测评中心)作为本次风险评估的技术实施主体,上海市医疗保险信息中心、上海市宝山区信息委、农业银行上海市分行、上海市电力公司、上海市电力股份有限公司等5家单位作为本市风险评估的试点单位(沪信息委安【2005】64号文)。同时制定了《上海市信息安全风险评估试点工作计划》、《上海市信息安全风险评估试点实施方案》。上海市信息安全测评认证中心具体承担风险评估方法、工具、操作流程的研究,并协助其他试点单位完成风险评估试点工作。上海测评中心于2000年就开始开展信息安全测评及风险评估业务,是国内最早开展信息安全测评和风险评估的机构之一。在风险评估试点工作之前上海测评中心已经对风险评估的方法、工具、操作流程做了一定的研究,形成了一定的基础,并已开展实施了天安保险股份有限公司、上海市房地产交易中心、金山石化集团、上海市商品住宅维修基金管理系统、上海旅委信息系统等风险评估项目。为了更好的完成风险评估试点工作,上海市信息安全测评认证中心对原有的风险评估方法、工具和操作流程进行了系统地总结和完善,并在此基础上开发了一套信息安全风险评估管理软件以方便风险评估实施机构或实施者更好地理解风险评估理念、基本概念、实施方法、操作流程,指导他们进行风险评估具体操作、规范操作步骤、提高评估效率、减少评估分析计算的工作量、保障评估结果的一致性、降低风险评估的实施难度,力求实现各系统运行单位由“委托他人”到“自己实施”的转变。本项目是以构建信息安全风险评估操作和管理平台为目标的实用性开发项目,可用于第三方评估机构,实现风险评估的委托评估,也可用于信息系统所有者对信息系统进行自评估。系统开发目标从信息安全风险评估的目的来看,推动信息系统的所有者实施定期的风险自评估是提高信息系统安全管理水平的一个有利手段。从目前颁布的风险评估标准来看,尽管指出了风险评估的原则、流程、意义等方面内容,但从指导系统所有者操作的角度来看,还缺乏一定的实际操作性。设计、开发一套辅助系统所有者实施风险自评估的系统软件,是本软件开发的目标。从应用的角度上看,是帮助系统所有单位的系统管理人员实施评估工作,必须满足以下几项目标:(1)实现对现有的信息安全风险评估操作、流程、结果的管理。由于其使用对象是系统管理人员,他们在信息安全风险评估方面的技术不一定很专业,因此,该系统必须满足风险评估全部流程的操作。(2)具备对标准的细化问题,辅助评估者实施评估操作。要求集成相关的判据、案例和选择列表,以便于评估者根据本系统实现评估。同时,应能够完成风险评估流程中各阶段应输出的各类报表。(3)便于对传统数据的管理,实现对风险的控制和管理。由于风险评估是一项定期实施的工作,对历史数据、历史项目的管理是系统管理人员了解系统安全状况,采取安全控制措施降低风险的基础。(4)系统的数据管理具有一定的灵活性。由于风险评估的实施中,资产类型、脆弱性列表、威胁分类、资产分类等均是可管理的。因此,系统必须具有一定的开放性,以便于用户直接修改基础数据。(5)系统本身应具有一定的开放性。应做到界面友好,操作简便,只要连接本地或者远程数据库即可使用。本软件的开发正是在上述目标的前提下执行的,实现了从前期的资产识别到最后的报表输出的相关功能,为从事信息安全风险评估工作的人员提供了极为便利的信