高亞楠 劉 豐 陳永剛

(國家信息中心信息與網(wǎng)絡(luò)安全部 北京 100045)

(gaoyn@sic.gov.cn)

1 概 述

國內(nèi)信息安全風(fēng)險管理工作從2003年至今已經(jīng)歷了15年，在信息安全保障工作中發(fā)揮了重要作用，推動了信息安全保障在全國各地區(qū)和各行業(yè)的深化發(fā)展，也推動了風(fēng)險評估工作的廣泛開展.隨著云計算、大數(shù)據(jù)、移動互聯(lián)、物聯(lián)網(wǎng)、智慧城市等新技術(shù)廣泛應(yīng)用;國與國之間的網(wǎng)絡(luò)對抗強度增加，網(wǎng)絡(luò)攻擊的規(guī)?；⒓瘓F化程度和趨利性日益增強;APT攻擊、震網(wǎng)攻擊、水坑攻擊等新的攻擊形態(tài)層出不窮，對原有的信息安全風(fēng)險管理的方式和方法帶來了極大的挑戰(zhàn).新形勢下網(wǎng)絡(luò)安全威脅表現(xiàn)形式有了很大變化，新技術(shù)應(yīng)用存在的信息安全脆弱性也有所不同，這些都對原有的信息安全風(fēng)險管理標(biāo)準(zhǔn)帶來了挑戰(zhàn).

國內(nèi)的信息安全風(fēng)險管理標(biāo)準(zhǔn)體系也面臨著諸多挑戰(zhàn)，包括標(biāo)準(zhǔn)體系架構(gòu)有待調(diào)整、新技術(shù)下標(biāo)準(zhǔn)適用性捉襟見肘、新形勢新挑戰(zhàn)下標(biāo)準(zhǔn)還需緊跟步伐，本土標(biāo)準(zhǔn)和國際標(biāo)準(zhǔn)未接軌、部分行業(yè)指導(dǎo)或最佳實踐缺失.因此，相應(yīng)的信息安全風(fēng)險管理標(biāo)準(zhǔn)體系也應(yīng)進(jìn)行必要的調(diào)整.

新形勢下信息安全風(fēng)險管理標(biāo)準(zhǔn)體系可分為4個面層，包括:政策法規(guī)支撐、基礎(chǔ)標(biāo)準(zhǔn)、新技術(shù)標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn).政策法規(guī)支撐以國家網(wǎng)絡(luò)安全法、信息安全保障工作意見、風(fēng)險評估工作意見和網(wǎng)絡(luò)安全等級保護(hù)制度為基石;基礎(chǔ)標(biāo)準(zhǔn)以采用標(biāo)準(zhǔn)信息安全風(fēng)險管理為綱領(lǐng)，以信息安全風(fēng)險管理指南和信息安全風(fēng)險評估規(guī)范為核心;新技術(shù)標(biāo)準(zhǔn)以大數(shù)據(jù)、物聯(lián)網(wǎng)、工業(yè)控制、云計算、區(qū)塊鏈等方面風(fēng)險管理指南和風(fēng)險評估實施指南為支撐.

本文梳理了國內(nèi)及國際信息安全風(fēng)險管理相關(guān)標(biāo)準(zhǔn)內(nèi)容和關(guān)聯(lián)關(guān)系，研究了當(dāng)前國內(nèi)信息安全風(fēng)險管理標(biāo)準(zhǔn)體系存在的不適用處，通過風(fēng)險評估規(guī)范標(biāo)準(zhǔn)修訂工作帶來的啟示，提出了新形勢下的信息安全風(fēng)險管理標(biāo)準(zhǔn)體系框架，為信息安全風(fēng)險管理標(biāo)準(zhǔn)體系建設(shè)及完善提供了參考.

2 國內(nèi)外信息安全風(fēng)險管理標(biāo)準(zhǔn)體系建設(shè)情況

2.1 國內(nèi)信息安全風(fēng)險管理標(biāo)準(zhǔn)體系建設(shè)情況

國內(nèi)從2003年起開始發(fā)布相關(guān)政策引導(dǎo)風(fēng)險管理發(fā)展，包括《關(guān)于開展信息安全風(fēng)險評估工作的意見》和《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》，為國內(nèi)信息安全風(fēng)險管理奠定了良好的基礎(chǔ).《信息安全風(fēng)險管理指南》和《信息安全風(fēng)險評估規(guī)范》作為筑基標(biāo)準(zhǔn)，指導(dǎo)了國內(nèi)信息安全風(fēng)險管理工作的開展.《風(fēng)險評估實施指南》和《風(fēng)險處置實施指南》為國內(nèi)信息安全風(fēng)險管理工作的落地提供了最佳實踐.下面是對各項標(biāo)準(zhǔn)規(guī)范的逐項解讀.國內(nèi)信息安全風(fēng)險管理標(biāo)準(zhǔn)體系架構(gòu)如圖1所示.

2007年，在原國信辦的直接領(lǐng)導(dǎo)和支持下，在國家安標(biāo)委的大力推動下，《信息安全技術(shù) 信息安全風(fēng)險評估規(guī)范》(GB T 20984—2007)正式頒布.風(fēng)險評估標(biāo)準(zhǔn)是信息安全風(fēng)險管理標(biāo)準(zhǔn)體系的基石，是我國第1部信息安全風(fēng)險管理標(biāo)準(zhǔn)，目前該標(biāo)準(zhǔn)正在進(jìn)行修訂.標(biāo)準(zhǔn)頒布10年來，GB T 20984—2007推動了我國信息安全保障工作的開展和安全保障體系的建設(shè)［1］.

2009年，《信息安全技術(shù) 信息安全風(fēng)險管理指南》(GB Z 24364—2009)發(fā)布，風(fēng)險管理指南給出了綱領(lǐng)性指導(dǎo)，對相關(guān)標(biāo)準(zhǔn)的補充完整起到了指引作用.該指南規(guī)范了信息安全風(fēng)險管理的內(nèi)容和過程，并提供了信息系統(tǒng)生命周期各階段的信息安全風(fēng)險管理方法［2］.風(fēng)險管理指南標(biāo)準(zhǔn)發(fā)布時間晚于風(fēng)險評估標(biāo)準(zhǔn)，與風(fēng)險評估標(biāo)準(zhǔn)兼容性強.但隨著風(fēng)險評估標(biāo)準(zhǔn)的修訂，風(fēng)險識別和風(fēng)險評估流程等內(nèi)容有待更新.

2015年，《信息安全技術(shù) 信息安全風(fēng)險評估實施指南》(GB T 31509—2015)發(fā)布，該標(biāo)準(zhǔn)細(xì)化了風(fēng)險評估的實踐方法和內(nèi)容，推動了風(fēng)險評估的發(fā)展.該標(biāo)準(zhǔn)定義了風(fēng)險評估的基本概念、原理及實施流程，對資產(chǎn)、威脅和脆弱性識別要求進(jìn)行了詳細(xì)描述，提出了風(fēng)險評估在信息系統(tǒng)生命周期不同階段的實施要點及風(fēng)險評估的工作形式［3］，實施指南與風(fēng)險評估規(guī)范一脈相承.隨著風(fēng)險評估規(guī)范的修訂，實施指南中資產(chǎn)識別的方法和內(nèi)容，威脅分類、調(diào)查和分析內(nèi)容，脆弱性分析以及風(fēng)險分析內(nèi)容應(yīng)進(jìn)行相應(yīng)的調(diào)整.

圖1 風(fēng)險管理標(biāo)準(zhǔn)體系

2015年，《信息技術(shù)安全技術(shù)信息安全風(fēng)險管理》(GB T 31722—2015 IDT ISO IEC 27005—2008)頒布，該標(biāo)準(zhǔn)是對國際標(biāo)準(zhǔn)的轉(zhuǎn)化，旨在為基于風(fēng)險管理方法建立信息安全管理體系提供指導(dǎo).信息安全風(fēng)險管理標(biāo)準(zhǔn)從語境建立、風(fēng)險評估、風(fēng)險處置、風(fēng)險接受、風(fēng)險溝通和風(fēng)險監(jiān)視評審6個方面提出要求.與信息安全風(fēng)險管理指南的背景建立、風(fēng)險評估、風(fēng)險處理、批準(zhǔn)監(jiān)督、監(jiān)控審查和溝通咨詢相對應(yīng)，并新增了批準(zhǔn)監(jiān)督階段內(nèi)容［4］.

2016年，《信息安全技術(shù) 信息安全風(fēng)險處理指南》(GB T 33132—2016)正式發(fā)布，該標(biāo)準(zhǔn)給出了信息安全風(fēng)險處理實施的管理過程和方法，適用于指導(dǎo)信息系統(tǒng)運營使用單位和信息安全服務(wù)機構(gòu)實施信息安全風(fēng)險處理活動.標(biāo)準(zhǔn)給出了風(fēng)險處理的方法和內(nèi)容［5］.標(biāo)準(zhǔn)部分內(nèi)容與風(fēng)險評估規(guī)范以及風(fēng)險評估指南相重疊，風(fēng)險評估規(guī)范修訂時對風(fēng)險處理的內(nèi)容進(jìn)行了簡化.后續(xù)應(yīng)對風(fēng)險處理實施指南中相關(guān)內(nèi)容進(jìn)行簡化.

2.2 國外信息安全風(fēng)險管理標(biāo)準(zhǔn)體系建設(shè)情況

國際信息安全管理體系(ISMS)標(biāo)準(zhǔn)族(即ISO IEC 27000系列標(biāo)準(zhǔn))是國際信息安全風(fēng)險管理標(biāo)準(zhǔn)體系的重要組成部分.國際信息安全標(biāo)準(zhǔn)化組織 ISO IEC JTC1 SC27 WG1專門負(fù)責(zé) ISMS標(biāo)準(zhǔn)族的研究和制定.ISMS標(biāo)準(zhǔn)族作為一套具有一定科學(xué)理論基礎(chǔ)和實踐價值的標(biāo)準(zhǔn)，被廣泛用于不同國家、不同領(lǐng)域，為不同信息安全管理需求的用戶提供了參考和指導(dǎo).

國際標(biāo)準(zhǔn)近年來陸續(xù)更新，國際標(biāo)準(zhǔn)化組織和美國NIST均制定了新的風(fēng)險管理標(biāo)準(zhǔn)，均開展了多項標(biāo)準(zhǔn)的修訂工作.當(dāng)前主要國際信息安全風(fēng)險管理標(biāo)準(zhǔn)如表1所示:

表1 國際信息安全風(fēng)險管理標(biāo)準(zhǔn)

2.3 國內(nèi)外風(fēng)險管理標(biāo)準(zhǔn)關(guān)系

目前我國在國際系列標(biāo)準(zhǔn)的基礎(chǔ)上，已經(jīng)轉(zhuǎn)化了ISMS中最為重要和核心的4項標(biāo)準(zhǔn)，分別是:GB T 22080—2008《信息技術(shù)安全技術(shù)信息安全管理體系要求》(對應(yīng) ISO IEC 27001—2005［6］)、GB T 22081—2008《信息技術(shù)安全技術(shù)信息安全管理使用規(guī)則》(對應(yīng) ISO IEC 27002—2005［7］)、GB T 25067—2010《信息技術(shù)安全技術(shù)信息安全管理體系認(rèn)證機構(gòu)認(rèn)可要求》(對應(yīng) ISO IEC 27006—2007［8］)、ISO IEC 27000—2010 《信息技術(shù)安全技術(shù)信息安全管理體系 概述和詞匯》.其中，GB T 22080—2008 和 GB T 22081—2008 是建設(shè)組織信息安全管理體系的基礎(chǔ)依據(jù);ISO IEC 27000—2010提供了有關(guān)ISMS系列標(biāo)準(zhǔn)的術(shù)語、定義和概述;GB T 25067—2010規(guī)范了信息安全風(fēng)險管理體系審核和認(rèn)證工作.對于希望了解和使用ISMS標(biāo)準(zhǔn)族的用戶具有重要的指導(dǎo)意義.同時，近年來國際信息安全風(fēng)險管理標(biāo)準(zhǔn)的舞臺上也有許多國內(nèi)標(biāo)準(zhǔn)編制專家的身影，對國內(nèi)標(biāo)準(zhǔn)和國際標(biāo)準(zhǔn)的融合發(fā)展起到了重要作用.

3 存在的主要問題

3.1 標(biāo)準(zhǔn)體系架構(gòu)有待調(diào)整

隨著國家信息安全戰(zhàn)略的調(diào)整以及信息化不斷深化，原有的信息安全風(fēng)險管理標(biāo)準(zhǔn)體系已逐漸顯示出不適宜的地方.國內(nèi)核心風(fēng)險管理標(biāo)準(zhǔn)為風(fēng)險管理、風(fēng)險評估規(guī)范和風(fēng)險管理指南，相關(guān)標(biāo)準(zhǔn)不足以支撐當(dāng)前網(wǎng)絡(luò)安全要求.此外，現(xiàn)有標(biāo)準(zhǔn)間既有交叉重復(fù)又有脫節(jié)，標(biāo)準(zhǔn)間的協(xié)調(diào)程度不高，標(biāo)準(zhǔn)體系有待進(jìn)一步梳理、調(diào)整和完善.比如風(fēng)險評估規(guī)范和風(fēng)險評估實施指南中有風(fēng)險處置相關(guān)的實施內(nèi)容，和后續(xù)發(fā)布的風(fēng)險處置指南的部分內(nèi)容沖突.

3.2 新技術(shù)下標(biāo)準(zhǔn)適用性捉襟見肘

近年來，信息技術(shù)快速發(fā)展，云計算、物聯(lián)網(wǎng)、大數(shù)據(jù)、移動互聯(lián)等新技術(shù)得到廣泛應(yīng)用，這些新技術(shù)的應(yīng)用在提升信息化水平的同時，也對原有的信息安全風(fēng)險管理方法帶來了極大的挑戰(zhàn)，如云計算應(yīng)用的風(fēng)險和原有風(fēng)險不同，風(fēng)險分析和計算方法需要進(jìn)行調(diào)整.信息安全風(fēng)險管理標(biāo)準(zhǔn)體系應(yīng)在原有工作基礎(chǔ)上對云計算、大數(shù)據(jù)、工業(yè)控制等新技術(shù)面臨的風(fēng)險進(jìn)行管理、防范、評估和處置.

以大數(shù)據(jù)安全風(fēng)險管理為例，變化包括:1)數(shù)據(jù)基礎(chǔ)設(shè)施頻受攻擊，數(shù)據(jù)丟失及泄露風(fēng)險加大;2)新型網(wǎng)絡(luò)威脅層出不窮，倒逼數(shù)據(jù)保護(hù)技術(shù)革新;3)數(shù)據(jù)交易地下產(chǎn)業(yè)鏈活動猖獗;4)數(shù)據(jù)跨境流動成為關(guān)注熱點，監(jiān)管機制面臨挑戰(zhàn);5)數(shù)據(jù)資源需求強烈，開放共享與安全保護(hù)矛盾凸顯.這些導(dǎo)致大數(shù)據(jù)安全風(fēng)險分析的側(cè)重點和內(nèi)容發(fā)生了變化.以云計算風(fēng)險管理為例，面臨的風(fēng)險包括數(shù)據(jù)泄露、憑證被盜和身份驗證不足、不安全接口和API、系統(tǒng)漏洞利用、賬戶劫持、惡意內(nèi)部人士、高級持續(xù)性威脅、永久性數(shù)據(jù)丟失、調(diào)查不足、云服務(wù)濫用、拒絕服務(wù)攻擊和共享技術(shù)等.

3.3 新形勢新挑戰(zhàn)下標(biāo)準(zhǔn)還需緊跟步伐

網(wǎng)絡(luò)安全法對信息安全風(fēng)險管理提出了新的要求，包括個人信息安全保護(hù)、關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)、數(shù)據(jù)跨境安全、關(guān)鍵產(chǎn)品服務(wù)安全等.為響應(yīng)法律法規(guī)要求，相關(guān)標(biāo)準(zhǔn)規(guī)范和政策法規(guī)均啟動了編制研究工作，其中多項標(biāo)準(zhǔn)與風(fēng)險管理緊密相關(guān)，如個人信息安全風(fēng)險評估指南、大數(shù)據(jù)業(yè)務(wù)安全風(fēng)險控制實施指南、ICT供應(yīng)鏈安全風(fēng)險控制實施指南和關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全分析管理框架等在研標(biāo)準(zhǔn).這些標(biāo)準(zhǔn)均基于風(fēng)險管理標(biāo)準(zhǔn)體系，由于當(dāng)前風(fēng)險管理標(biāo)準(zhǔn)體系存在不適用之處，所以也對相關(guān)標(biāo)準(zhǔn)適用性產(chǎn)生了影響.

國與國之間的網(wǎng)絡(luò)對抗強度增加，網(wǎng)絡(luò)攻擊的規(guī)模化、集團化程度和趨利性日益增強;APT攻擊、震網(wǎng)攻擊、水坑攻擊等新的攻擊形態(tài)層出不窮.這些對風(fēng)險管理語境建立、風(fēng)險評估范圍的劃定、評估對象的確定、威脅和脆弱性的識別和分析、風(fēng)險計算、風(fēng)險分析和風(fēng)險處置等都提出了嚴(yán)重挑戰(zhàn)，風(fēng)險管理標(biāo)準(zhǔn)體系的適用性受到了極大的沖擊.

目前，信息安全風(fēng)險管理標(biāo)準(zhǔn)體系中部分標(biāo)準(zhǔn)頒布年限均已大大超過了生存周期.由于受到編制環(huán)境的限制，標(biāo)準(zhǔn)大都具有自身的生存周期.研究表明，一個標(biāo)準(zhǔn)的正常生存周期通常是3～5年，超過這個期限就有可能會阻礙相關(guān)工作的發(fā)展.標(biāo)準(zhǔn)體系中多項標(biāo)準(zhǔn)超過生存周期會使標(biāo)準(zhǔn)本身的適用性下降，因此，應(yīng)對超過生存周期并且存在很多適用性問題的標(biāo)準(zhǔn)進(jìn)行修訂，并對標(biāo)準(zhǔn)體系進(jìn)行調(diào)整.

3.4 本土標(biāo)準(zhǔn)和國際標(biāo)準(zhǔn)未接軌

由于國內(nèi)外風(fēng)險管理標(biāo)準(zhǔn)編制工作存在時間差，所以采用標(biāo)準(zhǔn)和國內(nèi)編制標(biāo)準(zhǔn)間存在未接軌之處，導(dǎo)致標(biāo)準(zhǔn)的適用性和指導(dǎo)性都會逐漸下降，也使標(biāo)準(zhǔn)體系的適用性和擴展性降低.

3.5 部分行業(yè)指導(dǎo)或最佳實踐缺失

風(fēng)險評估在部分領(lǐng)域已經(jīng)發(fā)布了行業(yè)指導(dǎo)，為風(fēng)險管理和風(fēng)險評估的落地提供了支撐.但是不同領(lǐng)域給予的指導(dǎo)程度不同，在很多領(lǐng)域缺乏具體的落實建議，缺乏風(fēng)險管理的指引、行業(yè)相關(guān)威脅的研究和行業(yè)特有風(fēng)險的分析.建議給出信息安全保障工作的指導(dǎo)和最佳實踐.

4 新形勢下信息安全風(fēng)險管理標(biāo)準(zhǔn)體系

國家對網(wǎng)絡(luò)安全工作高度重視.2014年2月27日，中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組成立，習(xí)近平總書記親自擔(dān)任小組組長，這是中國在網(wǎng)絡(luò)安全和信息化方面邁出的重要一步.習(xí)近平總書記指出，“沒有網(wǎng)絡(luò)安全，就沒有國家安全;沒有信息化，就沒有現(xiàn)代化”，將網(wǎng)絡(luò)安全提升到了國家安全的高度.

2016年頒布的《中華人民共和國網(wǎng)絡(luò)安全法》中明確指出，對關(guān)鍵信息基礎(chǔ)設(shè)施的安全風(fēng)險進(jìn)行抽查檢測，關(guān)鍵信息基礎(chǔ)設(shè)施的運營者應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機構(gòu)對其網(wǎng)絡(luò)的安全性和可能存在的風(fēng)險每年至少進(jìn)行一次檢測評估.

2016年底頒布的《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》中也明確指出，網(wǎng)絡(luò)安全風(fēng)險得到有效控制，國家網(wǎng)絡(luò)安全保障體系健全完善，核心技術(shù)裝備安全可控，網(wǎng)絡(luò)和信息系統(tǒng)運行穩(wěn)定可靠.應(yīng)采取必要措施保障關(guān)鍵信息基礎(chǔ)設(shè)施安全，逐步實現(xiàn)先評估后使用.

2017年初頒布的《“十三五”國家網(wǎng)絡(luò)安全規(guī)劃》中也指出，主動防范和化解新技術(shù)應(yīng)用帶來的潛在風(fēng)險.正確認(rèn)識網(wǎng)絡(luò)新技術(shù)、新應(yīng)用、新產(chǎn)品可能帶來的挑戰(zhàn)，提前應(yīng)對工業(yè)機器人、人工智能等對傳統(tǒng)工作崗位的沖擊，加快提升國民信息技能，促進(jìn)社會就業(yè)結(jié)構(gòu)調(diào)整平滑過渡.提高網(wǎng)絡(luò)風(fēng)險防控能力，以可控方式和節(jié)奏主動釋放互聯(lián)網(wǎng)可能引發(fā)的經(jīng)濟社會風(fēng)險，維護(hù)社會和諧穩(wěn)定.建立互聯(lián)網(wǎng)新技術(shù)、新應(yīng)用網(wǎng)絡(luò)安全風(fēng)險評估制度，加強對新技術(shù)、新應(yīng)用上線前的風(fēng)險評估.

由習(xí)總書記講話和上述文件的論述可以看出，目前國家所處的網(wǎng)絡(luò)環(huán)境發(fā)生了變化，對網(wǎng)絡(luò)的定義也發(fā)生了根本性的變化，網(wǎng)絡(luò)已不再是狹義的network，而是廣義的cyberspace，基于上述背景，本文提出了新形勢下的信息安全風(fēng)險管理標(biāo)準(zhǔn)體系.

新形勢下的信息安全風(fēng)險管理標(biāo)準(zhǔn)體系可分為4個層面，包括政策法規(guī)支撐、基礎(chǔ)標(biāo)準(zhǔn)、新技術(shù)標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)，如圖2所示:

圖2 信息安全風(fēng)險管理標(biāo)準(zhǔn)體系

政策法規(guī)支撐是信息安全風(fēng)險管理標(biāo)準(zhǔn)體系的頂層綱領(lǐng)性文件，指導(dǎo)相關(guān)工作的開展，引導(dǎo)相關(guān)標(biāo)準(zhǔn)規(guī)范的確立.政策法規(guī)層面以《中華人民共和國網(wǎng)絡(luò)安全法》為基礎(chǔ)，《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》(中辦發(fā)［2003］27號)等相關(guān)政策要求為輔.此外還包括《電信和互聯(lián)網(wǎng)用戶個人信息保護(hù)規(guī)定》《全國人民代表大會常務(wù)委員會關(guān)于加強網(wǎng)絡(luò)信息保護(hù)的規(guī)定》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法》和《個人信息和重要數(shù)據(jù)出境安全評估辦法》等.

為推動政策執(zhí)行，支撐政策文件落地實施，基礎(chǔ)標(biāo)準(zhǔn)給出了信息安風(fēng)險管理工作的定義、范疇和內(nèi)容.基礎(chǔ)標(biāo)準(zhǔn)包括《信息安全風(fēng)險管理》《信息安全風(fēng)險管理指南》《信息安全風(fēng)險評估規(guī)范》《信息安全風(fēng)險處理實施指南》.

新技術(shù)標(biāo)準(zhǔn)給出了風(fēng)險評估標(biāo)準(zhǔn)在新技術(shù)領(lǐng)域的實施流程和方法，包括《個人信息安全風(fēng)險評估指南》(在研)、《大數(shù)據(jù)業(yè)務(wù)安全風(fēng)險控制實施指南》(在研)、《ICT供應(yīng)鏈安全風(fēng)險管理指南》(在研)、《工業(yè)控制系統(tǒng)風(fēng)險評估實施指南》(在研)、《云計算安全風(fēng)險評估實施指南》和《區(qū)塊鏈安全風(fēng)險評估指南》等.

行業(yè)標(biāo)準(zhǔn)指導(dǎo)著具體工作在各行業(yè)的開展和實施，包括《金融行業(yè)信息安全風(fēng)險評估規(guī)范》《政務(wù)信息安全風(fēng)險評估規(guī)范》《交通行業(yè)信息安全風(fēng)險評估規(guī)范》《金融行業(yè)信息安全風(fēng)險評估指南》《政務(wù)信息安全風(fēng)險評估指南》《交通行業(yè)信息安全風(fēng)險評估指南》等.

5 總 結(jié)

信息安全風(fēng)險管理標(biāo)準(zhǔn)體系是對信息安全風(fēng)險管理標(biāo)準(zhǔn)的頂層設(shè)計.標(biāo)準(zhǔn)體系的科學(xué)性是信息安全風(fēng)險管理標(biāo)準(zhǔn)發(fā)展的重要基礎(chǔ)［9］.然而當(dāng)前標(biāo)準(zhǔn)體系存在一些不適用之處，包括標(biāo)準(zhǔn)體系中大多數(shù)標(biāo)準(zhǔn)頒布年限超過生存周期，對云計算、物聯(lián)網(wǎng)、大數(shù)據(jù)、移動互聯(lián)等新技術(shù)的兼容度較低，網(wǎng)絡(luò)安全攻擊形態(tài)的層出不窮，標(biāo)準(zhǔn)間的交叉重復(fù)等.本文分析了國內(nèi)及國際信息安全風(fēng)險管理標(biāo)準(zhǔn)體系現(xiàn)狀，根據(jù)當(dāng)前信息安全風(fēng)險管理標(biāo)準(zhǔn)體系的不適用處，從政策法規(guī)層、規(guī)劃層、基礎(chǔ)層、實施層4個層面開展新形勢下信息安全風(fēng)險管理標(biāo)準(zhǔn)體系研究，提出了新形勢下的信息安全風(fēng)險管理標(biāo)準(zhǔn)體系.