信息安全風(fēng)險評估的目的和意義

1、信息安全風(fēng)險評估的目的和意義,網(wǎng)絡(luò)與信息安全組 2015年11月12日,信息安全風(fēng)險評估的目的和意義,1、風(fēng)險評估是分析確定風(fēng)險的過程 2、信息安全風(fēng)險評估是信息安全建設(shè)的起點和基礎(chǔ) 3、信息安全風(fēng)險評估是需求主導(dǎo)和突出重點原則的具體體現(xiàn) 4、重視風(fēng)險評估是信息化比較發(fā)達(dá)國家的基本經(jīng)驗 5、信息安全風(fēng)險評估的組織者是信息系統(tǒng)的主管部門和運營單位 6、信息安全風(fēng)險評估工作的協(xié)調(diào)合作與信息交流,信息安全風(fēng)險評估的目的和意義,信息安全風(fēng)險評估是加強信息安全保障體系建設(shè)和管理的關(guān)鍵環(huán)節(jié)。通過開展信息安全風(fēng)險評估工作，可以發(fā)現(xiàn)信息安全存在的主要問題和矛盾，找到解決諸多關(guān)鍵問題的辦法。,信息安全風(fēng)險評估的

2、目的和意義,1、風(fēng)險評估是分析確定風(fēng)險的過程 任何系統(tǒng)的安全性都可以通過風(fēng)險的大小來衡量?？茖W(xué)分析系統(tǒng)的安全風(fēng)險，綜合平衡風(fēng)險和代價的過程就是風(fēng)險評估。,信息安全風(fēng)險評估的目的和意義,在日常生活和工作中，風(fēng)險評估也是隨處可見，為了分析確定系統(tǒng)風(fēng)險及風(fēng)險大小，進(jìn)而決定采取什么措施去減少、轉(zhuǎn)移、避免風(fēng)險，把風(fēng)險控制在可以容忍的范圍內(nèi)。,信息安全風(fēng)險評估的目的和意義,人們經(jīng)常會提出這樣一些問題： 什么地方、什么時間可能出問題？ 出問題的可能性有多大？ 這些問題的后果是什么？ 應(yīng)該采取什么樣的措施加以避免和彌補？ 總是試圖找出最合理的答案。這一過程實際上就是風(fēng)險評估。早在上個世紀(jì)初期，科學(xué)家就已開始研

3、究風(fēng)險管理理論。,信息安全風(fēng)險評估的目的和意義,2、信息安全風(fēng)險評估是信息安全建設(shè)的起點和基礎(chǔ) 信息安全風(fēng)險評估是風(fēng)險評估理論和方法在信息系統(tǒng)中的運用，是科學(xué)分析理解信息和信息系統(tǒng)在機密性、完整性、可用性等方面所面臨的風(fēng)險，并在風(fēng)險的預(yù)防、風(fēng)險的控制、風(fēng)險的轉(zhuǎn)移、風(fēng)險的補償、風(fēng)險的分散等之間作出決策的過程。,信息安全風(fēng)險評估的目的和意義,所有信息安全建設(shè)都應(yīng)該是基于信息安全風(fēng)險評估，只有在正確地、全面地理解風(fēng)險后，才能在控制風(fēng)險、減少風(fēng)險、轉(zhuǎn)移風(fēng)險之間作出正確的判斷，決定調(diào)動多少資源、以什么的代價、采取什么樣的應(yīng)對措施去化解、控制風(fēng)險。,信息安全風(fēng)險評估的目的和意義,3、信息安全風(fēng)險評估是需求

4、主導(dǎo)和突出重點原則的具體體現(xiàn) 如果說信息安全建設(shè)必須從實際出發(fā)，堅持需求主導(dǎo)、突出重點，則風(fēng)險評估（需求分析）就是這一原則在實際工作中的重要體現(xiàn)。從理論上講風(fēng)險總是客觀存在的。安全是安全風(fēng)險與安全建設(shè)管理代價的綜合平衡。,信息安全風(fēng)險評估的目的和意義,不考慮風(fēng)險的信息化是要付出代價 有時代價可能很高，甚至難以承受,信息安全風(fēng)險評估的目的和意義,不計成本、片面地追求絕對安全、試圖消滅風(fēng)險或完全避免風(fēng)險是不現(xiàn)實的，也不是需求主導(dǎo)原則所要求的。堅持從實際出發(fā)，堅持需求主導(dǎo)、突出重點，就必須科學(xué)地評估風(fēng)險，有效控制風(fēng)險。,信息安全風(fēng)險評估的目的和意義,4、重視風(fēng)險評估是信息化比較發(fā)達(dá)國家的基本經(jīng)驗 由

5、于信息技術(shù)的飛速發(fā)展，關(guān)系國計民生的關(guān)鍵信息基礎(chǔ)設(shè)施的規(guī)模越來越大，同時也極大地增加了復(fù)雜程度，發(fā)達(dá)國家越來越重視信息安全風(fēng)險評估工作，提倡風(fēng)險評估制度化。,信息安全風(fēng)險評估的目的和意義,上個世紀(jì)70年代，美國政府就發(fā)布了自動化數(shù)據(jù)處理風(fēng)險評估指南。其后頒布的關(guān)于信息安全基本政策文件聯(lián)邦信息資源安全明確提出了信息安全風(fēng)險評估的要求，要求聯(lián)邦政府部門依據(jù)信息和信息系統(tǒng)所面臨的風(fēng)險，根據(jù)信息丟失、濫用、泄露、未授權(quán)訪問等造成損失的大小，制訂、實施信息安全計劃，以保證信息和信息系統(tǒng)應(yīng)有的安全。,信息安全風(fēng)險評估的目的和意義,有些國家和國際組織還十分重視階段性的再評估工作，以求得信息安全措施可以持續(xù)地

6、適應(yīng)信息安全形勢的變化和發(fā)展。 （美國聯(lián)邦政府的年度評估制度 ，OECD信息安全九條中的評估和再評估）,信息安全風(fēng)險評估的目的和意義,6、信息安全風(fēng)險評估工作的協(xié)調(diào)合作與信息交流 隨著互聯(lián)互通的發(fā)展，信息系統(tǒng)相互依賴性的增加，信息安全的相互共同責(zé)任越來越大，因此，風(fēng)險評估有關(guān)的信息交流共享是必需的，這是互聯(lián)互通的參與者相互負(fù)責(zé)任的體現(xiàn)，也是搞好安全防范工作的重要的前提之一，符合所有參與者的共同利益。在信息安全風(fēng)險評估中，凡與互聯(lián)的其它參與者有關(guān)的情況，應(yīng)該依據(jù)牽涉范圍，及時交換或公布，以便有關(guān)聯(lián)的單位盡早采取應(yīng)對措施。,信息安全風(fēng)險評估的目的和意義,信息共享的同時意味著必要的保密責(zé)任與義務(wù)的轉(zhuǎn)移，因此，強調(diào)信息共享的同時，也應(yīng)有制度性的要求，明確共享信息保密、完整、可用的責(zé)任和義務(wù)。,信息安全風(fēng)險評估的目的和意義,結(jié)束語： 經(jīng)過多年的探索，有關(guān)方面已經(jīng)在信