信息安全風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)體系研究

高亞楠 劉 豐 陳永剛

(國(guó)家信息中心信息與網(wǎng)絡(luò)安全部 北京 100045)

(gaoyn@sic.gov.cn)

1 概 述

國(guó)內(nèi)信息安全風(fēng)險(xiǎn)管理工作從2003年至今已經(jīng)歷了15年，在信息安全保障工作中發(fā)揮了重要作用，推動(dòng)了信息安全保障在全國(guó)各地區(qū)和各行業(yè)的深化發(fā)展，也推動(dòng)了風(fēng)險(xiǎn)評(píng)估工作的廣泛開(kāi)展.隨著云計(jì)算、大數(shù)據(jù)、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、智慧城市等新技術(shù)廣泛應(yīng)用;國(guó)與國(guó)之間的網(wǎng)絡(luò)對(duì)抗強(qiáng)度增加，網(wǎng)絡(luò)攻擊的規(guī)模化、集團(tuán)化程度和趨利性日益增強(qiáng);APT攻擊、震網(wǎng)攻擊、水坑攻擊等新的攻擊形態(tài)層出不窮，對(duì)原有的信息安全風(fēng)險(xiǎn)管理的方式和方法帶來(lái)了極大的挑戰(zhàn).新形勢(shì)下網(wǎng)絡(luò)安全威脅表現(xiàn)形式有了很大變化，新技術(shù)應(yīng)用存在的信息安全脆弱性也有所不同，這些都對(duì)原有的信息安全風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)帶來(lái)了挑戰(zhàn).

國(guó)內(nèi)的信息安全風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)體系也面臨著諸多挑戰(zhàn)，包括標(biāo)準(zhǔn)體系架構(gòu)有待調(diào)整、新技術(shù)下標(biāo)準(zhǔn)適用性捉襟見(jiàn)肘、新形勢(shì)新挑戰(zhàn)下標(biāo)準(zhǔn)還需緊跟步伐，本土標(biāo)準(zhǔn)和國(guó)際標(biāo)準(zhǔn)未接軌、部分行業(yè)指導(dǎo)或最佳實(shí)踐缺失.因此，相應(yīng)的信息安全風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)體系也應(yīng)進(jìn)行必要的調(diào)整.

新形勢(shì)下信息安全風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)體系可分為4個(gè)面層，包括:政策法規(guī)支撐、基礎(chǔ)標(biāo)準(zhǔn)、新技術(shù)標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn).政策法規(guī)支撐以國(guó)家網(wǎng)絡(luò)安全法、信息安全保障工作意見(jiàn)、風(fēng)險(xiǎn)評(píng)估工作意見(jiàn)和網(wǎng)絡(luò)安全等級(jí)保護(hù)制度為基石;基礎(chǔ)標(biāo)準(zhǔn)以采用標(biāo)準(zhǔn)信息安全風(fēng)險(xiǎn)管理為綱領(lǐng)，以信息安全風(fēng)險(xiǎn)管理指南和信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范為核心;新技術(shù)標(biāo)準(zhǔn)以大數(shù)據(jù)、物聯(lián)網(wǎng)、工業(yè)控制、云計(jì)算、區(qū)塊鏈等方面風(fēng)險(xiǎn)管理指南和風(fēng)險(xiǎn)評(píng)估實(shí)施指南為支撐.

本文梳理了國(guó)內(nèi)及國(guó)際信息安全風(fēng)險(xiǎn)管理相關(guān)標(biāo)準(zhǔn)內(nèi)容和關(guān)聯(lián)關(guān)系，研究了當(dāng)前國(guó)內(nèi)信息安全風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)體系存在的不適用處，通過(guò)風(fēng)險(xiǎn)評(píng)估規(guī)范標(biāo)準(zhǔn)修訂工作帶來(lái)的啟示，提出了新形勢(shì)下的信息安全風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)體系框架，為信息安全風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)體系建設(shè)及完善提供了參考.

2 國(guó)內(nèi)外信息安全風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)體系建設(shè)情況

2.1 國(guó)內(nèi)信息安全風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)體系建設(shè)情況

國(guó)內(nèi)從2003年起開(kāi)始發(fā)布相關(guān)政策引導(dǎo)風(fēng)險(xiǎn)管理發(fā)展，包括《關(guān)于開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見(jiàn)》和《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》，為國(guó)內(nèi)信息安全風(fēng)險(xiǎn)管理奠定了良好的基礎(chǔ).《信息安全風(fēng)險(xiǎn)管理指南》和《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》作為筑基標(biāo)準(zhǔn)，指導(dǎo)了國(guó)內(nèi)信息安全風(fēng)險(xiǎn)管理工作的開(kāi)展.《風(fēng)險(xiǎn)評(píng)估實(shí)施指南》和《風(fēng)險(xiǎn)處置實(shí)施指南》為國(guó)內(nèi)信息安全風(fēng)險(xiǎn)管理工作的落地提供了最佳實(shí)踐.下面是對(duì)各項(xiàng)標(biāo)準(zhǔn)規(guī)范的逐項(xiàng)解讀.國(guó)內(nèi)信息安全風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)體系架構(gòu)如圖1所示.

2007年，在原國(guó)信辦的直接領(lǐng)導(dǎo)和支持下，在國(guó)家安標(biāo)委的大力推動(dòng)下，《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》(GB T 20984—2007)正式頒布.風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)是信息安全風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)體系的基石，是我國(guó)第1部信息安全風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)，目前該標(biāo)準(zhǔn)正在進(jìn)行修訂.標(biāo)準(zhǔn)頒布10年來(lái)，GB T 20984—2007推動(dòng)了我國(guó)信息安全保障工作的開(kāi)展和安全保障體系的建設(shè)［1］.

2009年，《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)管理指南》(GB Z 24364—2009)發(fā)布，風(fēng)險(xiǎn)管理指南給出了綱領(lǐng)性指導(dǎo)，對(duì)相關(guān)標(biāo)準(zhǔn)的補(bǔ)充完整起到了指引作用.該指南規(guī)范了信息安全風(fēng)險(xiǎn)管理的內(nèi)容和過(guò)程，并提供了信息系統(tǒng)生命周期各階段的信息安全風(fēng)險(xiǎn)管理方法［2］.風(fēng)險(xiǎn)管理指南標(biāo)準(zhǔn)發(fā)布時(shí)間晚于風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)，與風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)兼容性強(qiáng).但隨著風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)的修訂，風(fēng)險(xiǎn)識(shí)別和風(fēng)險(xiǎn)評(píng)估流程等內(nèi)容有待更新.

2015年，《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施指南》(GB T 31509—2015)發(fā)布，該標(biāo)準(zhǔn)細(xì)化了風(fēng)險(xiǎn)評(píng)估的實(shí)踐方法和內(nèi)容，推動(dòng)了風(fēng)險(xiǎn)評(píng)估的發(fā)展.該標(biāo)準(zhǔn)定義了風(fēng)險(xiǎn)評(píng)估的基本概念、原理及實(shí)施流程，對(duì)資產(chǎn)、威脅和脆弱性識(shí)別要求進(jìn)行了詳細(xì)描述，提出了風(fēng)險(xiǎn)評(píng)估在信息系統(tǒng)生命周期不同階段的實(shí)施要點(diǎn)及風(fēng)險(xiǎn)評(píng)估的工作形式［3］，實(shí)施指南與風(fēng)險(xiǎn)評(píng)估規(guī)范一脈相承.隨著風(fēng)險(xiǎn)評(píng)估規(guī)范的修訂，實(shí)施指南中資產(chǎn)識(shí)別的方法和內(nèi)容，威脅分類、調(diào)查和分析內(nèi)容，脆弱性分析以及風(fēng)險(xiǎn)分析內(nèi)容應(yīng)進(jìn)行相應(yīng)的調(diào)整.

圖1 風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)體系

2015年，《信息技術(shù)安全技術(shù)信息安全風(fēng)險(xiǎn)管理》(GB T 31722—2015 IDT ISO IEC 27005—2008)頒布，該標(biāo)準(zhǔn)是對(duì)國(guó)際標(biāo)準(zhǔn)的轉(zhuǎn)化，旨在為基于風(fēng)險(xiǎn)管理方法建立信息安全管理體系提供指導(dǎo).信息安全風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)從語(yǔ)境建立、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)處置、風(fēng)險(xiǎn)接受、風(fēng)險(xiǎn)溝通和風(fēng)險(xiǎn)監(jiān)視評(píng)審6個(gè)方面提出要求.與信息安全風(fēng)險(xiǎn)管理指南的背景建立、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)處理、批準(zhǔn)監(jiān)督、監(jiān)控審查和溝通咨詢相對(duì)應(yīng)，并新增了批準(zhǔn)監(jiān)督階段內(nèi)容［4］.

2016年，《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)處理指南》(GB T 33132—2016)正式發(fā)布，該標(biāo)準(zhǔn)給出了信息安全風(fēng)險(xiǎn)處理實(shí)施的管理過(guò)程和方法，適用于指導(dǎo)信息系統(tǒng)運(yùn)營(yíng)使用單位和信息安全服務(wù)機(jī)構(gòu)實(shí)施信息安全風(fēng)險(xiǎn)處理活動(dòng).標(biāo)準(zhǔn)給出了風(fēng)險(xiǎn)處理的方法和內(nèi)容［5］.標(biāo)準(zhǔn)部分內(nèi)容與風(fēng)險(xiǎn)評(píng)估規(guī)范以及風(fēng)險(xiǎn)評(píng)估指南相重疊，風(fēng)險(xiǎn)評(píng)估規(guī)范修訂時(shí)對(duì)風(fēng)險(xiǎn)處理的內(nèi)容進(jìn)行了簡(jiǎn)化.后續(xù)應(yīng)對(duì)風(fēng)險(xiǎn)處理實(shí)施指南中相關(guān)內(nèi)容進(jìn)行簡(jiǎn)化.

2.2 國(guó)外信息安全風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)體系建設(shè)情況

國(guó)際信息安全管理體系(ISMS)標(biāo)準(zhǔn)族(即ISO IEC 27000系列標(biāo)準(zhǔn))是國(guó)際信息安全風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)體系的重要組成部分.國(guó)際信息安全標(biāo)準(zhǔn)化組織 ISO IEC JTC1 SC27 WG1專門負(fù)責(zé) ISMS標(biāo)準(zhǔn)族的研究和制定.ISMS標(biāo)準(zhǔn)族作為一套具有一定科學(xué)理論基礎(chǔ)和實(shí)踐價(jià)值的標(biāo)準(zhǔn)，被廣泛用于不同國(guó)家、不同領(lǐng)域，為不同信息安全管理需求的用戶提供了參考和指導(dǎo).

國(guó)際標(biāo)準(zhǔn)近年來(lái)陸續(xù)更新，國(guó)際標(biāo)準(zhǔn)化組織和美國(guó)NIST均制定了新的風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)，均開(kāi)展了多項(xiàng)標(biāo)準(zhǔn)的修訂工作.當(dāng)前主要國(guó)際信息安全風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)如表1所示:

表1 國(guó)際信息安全風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)

2.3 國(guó)內(nèi)外風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)關(guān)系

目前我國(guó)在國(guó)際系列標(biāo)準(zhǔn)的基礎(chǔ)上，已經(jīng)轉(zhuǎn)化了ISMS中最為重要和核心的4項(xiàng)標(biāo)準(zhǔn)，分別是:GB T 22080—2008《信息技術(shù)安全技術(shù)信息安全管理體系要求》(對(duì)應(yīng) ISO IEC 27001—2005［6］)、GB T 22081—2008《信息技術(shù)安全技術(shù)信息安全管理使用規(guī)則》(對(duì)應(yīng) ISO IEC 27002—2005［7］)、GB T 25067—2010《信息技術(shù)安全技術(shù)信息安全管理體系認(rèn)證機(jī)構(gòu)認(rèn)可要求》(對(duì)應(yīng) ISO IEC 27006—2007［8］)、ISO IEC 27000—2010 《信息技術(shù)安全技術(shù)信息安全管理體系 概述和詞匯》.其中，GB T 22080—2008 和 GB T 22081—2008 是建設(shè)組織信息安全管理體系的基礎(chǔ)依據(jù);ISO IEC 27000—2010提供了有關(guān)ISMS系列標(biāo)準(zhǔn)的術(shù)語(yǔ)、定義和概述;GB T 25067—2010規(guī)范了信息安全風(fēng)險(xiǎn)管理體系審核和認(rèn)證工作.對(duì)于希望了解和使用ISMS標(biāo)準(zhǔn)族的用戶具有重要的指導(dǎo)意義.同時(shí)，近年來(lái)國(guó)際信息安全風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)的舞臺(tái)上也有許多國(guó)內(nèi)標(biāo)準(zhǔn)編制專家的身影，對(duì)國(guó)內(nèi)標(biāo)準(zhǔn)和國(guó)際標(biāo)準(zhǔn)的融合發(fā)展起到了重要作用.

3 存在的主要問(wèn)題

3.1 標(biāo)準(zhǔn)體系架構(gòu)有待調(diào)整

隨著國(guó)家信息安全戰(zhàn)略的調(diào)整以及信息化不斷深化，原有的信息安全風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)體系已逐漸顯示出不適宜的地方.國(guó)內(nèi)核心風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)為風(fēng)險(xiǎn)管理、風(fēng)險(xiǎn)評(píng)估規(guī)范和風(fēng)險(xiǎn)管理指南，相關(guān)標(biāo)準(zhǔn)不足以支撐當(dāng)前網(wǎng)絡(luò)安全要求.此外，現(xiàn)有標(biāo)準(zhǔn)間既有交叉重復(fù)又有脫節(jié)，標(biāo)準(zhǔn)間的協(xié)調(diào)程度不高，標(biāo)準(zhǔn)體系有待進(jìn)一步梳理、調(diào)整和完善.比如風(fēng)險(xiǎn)評(píng)估規(guī)范和風(fēng)險(xiǎn)評(píng)估實(shí)施指南中有風(fēng)險(xiǎn)處置相關(guān)的實(shí)施內(nèi)容，和后續(xù)發(fā)布的風(fēng)險(xiǎn)處置指南的部分內(nèi)容沖突.

3.2 新技術(shù)下標(biāo)準(zhǔn)適用性捉襟見(jiàn)肘

近年來(lái)，信息技術(shù)快速發(fā)展，云計(jì)算、物聯(lián)網(wǎng)、大數(shù)據(jù)、移動(dòng)互聯(lián)等新技術(shù)得到廣泛應(yīng)用，這些新技術(shù)的應(yīng)用在提升信息化水平的同時(shí)，也對(duì)原有的信息安全風(fēng)險(xiǎn)管理方法帶來(lái)了極大的挑戰(zhàn)，如云計(jì)算應(yīng)用的風(fēng)險(xiǎn)和原有風(fēng)險(xiǎn)不同，風(fēng)險(xiǎn)分析和計(jì)算方法需要進(jìn)行調(diào)整.信息安全風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)體系應(yīng)在原有工作基礎(chǔ)上對(duì)云計(jì)算、大數(shù)據(jù)、工業(yè)控制等新技術(shù)面臨的風(fēng)險(xiǎn)進(jìn)行管理、防范、評(píng)估和處置.

以大數(shù)據(jù)安全風(fēng)險(xiǎn)管理為例，變化包括:1)數(shù)據(jù)基礎(chǔ)設(shè)施頻受攻擊，數(shù)據(jù)丟失及泄露風(fēng)險(xiǎn)加大;2)新型網(wǎng)絡(luò)威脅層出不窮，倒逼數(shù)據(jù)保護(hù)技術(shù)革新;3)數(shù)據(jù)交易地下產(chǎn)業(yè)鏈活動(dòng)猖獗;4)數(shù)據(jù)跨境流動(dòng)成為關(guān)注熱點(diǎn)，監(jiān)管機(jī)制面臨挑戰(zhàn);5)數(shù)據(jù)資源需求強(qiáng)烈，開(kāi)放共享與安全保護(hù)矛盾凸顯.這些導(dǎo)致大數(shù)據(jù)安全風(fēng)險(xiǎn)分析的側(cè)重點(diǎn)和內(nèi)容發(fā)生了變化.以云計(jì)算風(fēng)險(xiǎn)管理為例，面臨的風(fēng)險(xiǎn)包括數(shù)據(jù)泄露、憑證被盜和身份驗(yàn)證不足、不安全接口和API、系統(tǒng)漏洞利用、賬戶劫持、惡意內(nèi)部人士、高級(jí)持續(xù)性威脅、永久性數(shù)據(jù)丟失、調(diào)查不足、云服務(wù)濫用、拒絕服務(wù)攻擊和共享技術(shù)等.

3.3 新形勢(shì)新挑戰(zhàn)下標(biāo)準(zhǔn)還需緊跟步伐

網(wǎng)絡(luò)安全法對(duì)信息安全風(fēng)險(xiǎn)管理提出了新的要求，包括個(gè)人信息安全保護(hù)、關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)、數(shù)據(jù)跨境安全、關(guān)鍵產(chǎn)品服務(wù)安全等.為響應(yīng)法律法規(guī)要求，相關(guān)標(biāo)準(zhǔn)規(guī)范和政策法規(guī)均啟動(dòng)了編制研究工作，其中多項(xiàng)標(biāo)準(zhǔn)與風(fēng)險(xiǎn)管理緊密相關(guān)，如個(gè)人信息安全風(fēng)險(xiǎn)評(píng)估指南、大數(shù)據(jù)業(yè)務(wù)安全風(fēng)險(xiǎn)控制實(shí)施指南、ICT供應(yīng)鏈安全風(fēng)險(xiǎn)控制實(shí)施指南和關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全分析管理框架等在研標(biāo)準(zhǔn).這些標(biāo)準(zhǔn)均基于風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)體系，由于當(dāng)前風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)體系存在不適用之處，所以也對(duì)相關(guān)標(biāo)準(zhǔn)適用性產(chǎn)生了影響.

國(guó)與國(guó)之間的網(wǎng)絡(luò)對(duì)抗強(qiáng)度增加，網(wǎng)絡(luò)攻擊的規(guī)?；?、集團(tuán)化程度和趨利性日益增強(qiáng);APT攻擊、震網(wǎng)攻擊、水坑攻擊等新的攻擊形態(tài)層出不窮.這些對(duì)風(fēng)險(xiǎn)管理語(yǔ)境建立、風(fēng)險(xiǎn)評(píng)估范圍的劃定、評(píng)估對(duì)象的確定、威脅和脆弱性的識(shí)別和分析、風(fēng)險(xiǎn)計(jì)算、風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)處置等都提出了嚴(yán)重挑戰(zhàn)，風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)體系的適用性受到了極大的沖擊.

目前，信息安全風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)體系中部分標(biāo)準(zhǔn)頒布年限均已大大超過(guò)了生存周期.由于受到編制環(huán)境的限制，標(biāo)準(zhǔn)大都具有自身的生存周期.研究表明，一個(gè)標(biāo)準(zhǔn)的正常生存周期通常是3～5年，超過(guò)這個(gè)期限就有可能會(huì)阻礙相關(guān)工作的發(fā)展.標(biāo)準(zhǔn)體系中多項(xiàng)標(biāo)準(zhǔn)超過(guò)生存周期會(huì)使標(biāo)準(zhǔn)本身的適用性下降，因此，應(yīng)對(duì)超過(guò)生存周期并且存在很多適用性問(wèn)題的標(biāo)準(zhǔn)進(jìn)行修訂，并對(duì)標(biāo)準(zhǔn)體系進(jìn)行調(diào)整.

3.4 本土標(biāo)準(zhǔn)和國(guó)際標(biāo)準(zhǔn)未接軌

由于國(guó)內(nèi)外風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)編制工作存在時(shí)間差，所以采用標(biāo)準(zhǔn)和國(guó)內(nèi)編制標(biāo)準(zhǔn)間存在未接軌之處，導(dǎo)致標(biāo)準(zhǔn)的適用性和指導(dǎo)性都會(huì)逐漸下降，也使標(biāo)準(zhǔn)體系的適用性和擴(kuò)展性降低.

3.5 部分行業(yè)指導(dǎo)或最佳實(shí)踐缺失

風(fēng)險(xiǎn)評(píng)估在部分領(lǐng)域已經(jīng)發(fā)布了行業(yè)指導(dǎo)，為風(fēng)險(xiǎn)管理和風(fēng)險(xiǎn)評(píng)估的落地提供了支撐.但是不同領(lǐng)域給予的指導(dǎo)程度不同，在很多領(lǐng)域缺乏具體的落實(shí)建議，缺乏風(fēng)險(xiǎn)管理的指引、行業(yè)相關(guān)威脅的研究和行業(yè)特有風(fēng)險(xiǎn)的分析.建議給出信息安全保障工作的指導(dǎo)和最佳實(shí)踐.

4 新形勢(shì)下信息安全風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)體系

國(guó)家對(duì)網(wǎng)絡(luò)安全工作高度重視.2014年2月27日，中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組成立，習(xí)近平總書(shū)記親自擔(dān)任小組組長(zhǎng)，這是中國(guó)在網(wǎng)絡(luò)安全和信息化方面邁出的重要一步.習(xí)近平總書(shū)記指出，“沒(méi)有網(wǎng)絡(luò)安全，就沒(méi)有國(guó)家安全;沒(méi)有信息化，就沒(méi)有現(xiàn)代化”，將網(wǎng)絡(luò)安全提升到了國(guó)家安全的高度.

2016年頒布的《中華人民共和國(guó)網(wǎng)絡(luò)安全法》中明確指出，對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的安全風(fēng)險(xiǎn)進(jìn)行抽查檢測(cè)，關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對(duì)其網(wǎng)絡(luò)的安全性和可能存在的風(fēng)險(xiǎn)每年至少進(jìn)行一次檢測(cè)評(píng)估.

2016年底頒布的《國(guó)家網(wǎng)絡(luò)空間安全戰(zhàn)略》中也明確指出，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)得到有效控制，國(guó)家網(wǎng)絡(luò)安全保障體系健全完善，核心技術(shù)裝備安全可控，網(wǎng)絡(luò)和信息系統(tǒng)運(yùn)行穩(wěn)定可靠.應(yīng)采取必要措施保障關(guān)鍵信息基礎(chǔ)設(shè)施安全，逐步實(shí)現(xiàn)先評(píng)估后使用.

2017年初頒布的《“十三五”國(guó)家網(wǎng)絡(luò)安全規(guī)劃》中也指出，主動(dòng)防范和化解新技術(shù)應(yīng)用帶來(lái)的潛在風(fēng)險(xiǎn).正確認(rèn)識(shí)網(wǎng)絡(luò)新技術(shù)、新應(yīng)用、新產(chǎn)品可能帶來(lái)的挑戰(zhàn)，提前應(yīng)對(duì)工業(yè)機(jī)器人、人工智能等對(duì)傳統(tǒng)工作崗位的沖擊，加快提升國(guó)民信息技能，促進(jìn)社會(huì)就業(yè)結(jié)構(gòu)調(diào)整平滑過(guò)渡.提高網(wǎng)絡(luò)風(fēng)險(xiǎn)防控能力，以可控方式和節(jié)奏主動(dòng)釋放互聯(lián)網(wǎng)可能引發(fā)的經(jīng)濟(jì)社會(huì)風(fēng)險(xiǎn)，維護(hù)社會(huì)和諧穩(wěn)定.建立互聯(lián)網(wǎng)新技術(shù)、新應(yīng)用網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估制度，加強(qiáng)對(duì)新技術(shù)、新應(yīng)用上線前的風(fēng)險(xiǎn)評(píng)估.

由習(xí)總書(shū)記講話和上述文件的論述可以看出，目前國(guó)家所處的網(wǎng)絡(luò)環(huán)境發(fā)生了變化，對(duì)網(wǎng)絡(luò)的定義也發(fā)生了根本性的變化，網(wǎng)絡(luò)已不再是狹義的network，而是廣義的cyberspace，基于上述背景，本文提出了新形勢(shì)下的信息安全風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)體系.

新形勢(shì)下的信息安全風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)體系可分為4個(gè)層面，包括政策法規(guī)支撐、基礎(chǔ)標(biāo)準(zhǔn)、新技術(shù)標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)，如圖2所示:

圖2 信息安全風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)體系

政策法規(guī)支撐是信息安全風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)體系的頂層綱領(lǐng)性文件，指導(dǎo)相關(guān)工作的開(kāi)展，引導(dǎo)相關(guān)標(biāo)準(zhǔn)規(guī)范的確立.政策法規(guī)層面以《中華人民共和國(guó)網(wǎng)絡(luò)安全法》為基礎(chǔ)，《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》(中辦發(fā)［2003］27號(hào))等相關(guān)政策要求為輔.此外還包括《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》《全國(guó)人民代表大會(huì)常務(wù)委員會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的規(guī)定》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法》和《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法》等.

為推動(dòng)政策執(zhí)行，支撐政策文件落地實(shí)施，基礎(chǔ)標(biāo)準(zhǔn)給出了信息安風(fēng)險(xiǎn)管理工作的定義、范疇和內(nèi)容.基礎(chǔ)標(biāo)準(zhǔn)包括《信息安全風(fēng)險(xiǎn)管理》《信息安全風(fēng)險(xiǎn)管理指南》《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》《信息安全風(fēng)險(xiǎn)處理實(shí)施指南》.

新技術(shù)標(biāo)準(zhǔn)給出了風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)在新技術(shù)領(lǐng)域的實(shí)施流程和方法，包括《個(gè)人信息安全風(fēng)險(xiǎn)評(píng)估指南》(在研)、《大數(shù)據(jù)業(yè)務(wù)安全風(fēng)險(xiǎn)控制實(shí)施指南》(在研)、《ICT供應(yīng)鏈安全風(fēng)險(xiǎn)管理指南》(在研)、《工業(yè)控制系統(tǒng)風(fēng)險(xiǎn)評(píng)估實(shí)施指南》(在研)、《云計(jì)算安全風(fēng)險(xiǎn)評(píng)估實(shí)施指南》和《區(qū)塊鏈安全風(fēng)險(xiǎn)評(píng)估指南》等.

行業(yè)標(biāo)準(zhǔn)指導(dǎo)著具體工作在各行業(yè)的開(kāi)展和實(shí)施，包括《金融行業(yè)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》《政務(wù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》《交通行業(yè)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》《金融行業(yè)信息安全風(fēng)險(xiǎn)評(píng)估指南》《政務(wù)信息安全風(fēng)險(xiǎn)評(píng)估指南》《交通行業(yè)信息安全風(fēng)險(xiǎn)評(píng)估指南》等.

5 總 結(jié)

信息安全風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)體系是對(duì)信息安全風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)的頂層設(shè)計(jì).標(biāo)準(zhǔn)體系的科學(xué)性是信息安全風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)發(fā)展的重要基礎(chǔ)［9］.然而當(dāng)前標(biāo)準(zhǔn)體系存在一些不適用之處，包括標(biāo)準(zhǔn)體系中大多數(shù)標(biāo)準(zhǔn)頒布年限超過(guò)生存周期，對(duì)云計(jì)算、物聯(lián)網(wǎng)、大數(shù)據(jù)、移動(dòng)互聯(lián)等新技術(shù)的兼容度較低，網(wǎng)絡(luò)安全攻擊形態(tài)的層出不窮，標(biāo)準(zhǔn)間的交叉重復(fù)等.本文分析了國(guó)內(nèi)及國(guó)際信息安全風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)體系現(xiàn)狀，根據(jù)當(dāng)前信息安全風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)體系的不適用處，從政策法規(guī)層、規(guī)劃層、基礎(chǔ)層、實(shí)施層4個(gè)層面開(kāi)展新形勢(shì)下信息安全風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)體系研究，提出了新形勢(shì)下的信息安全風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)體系.