【管理資源】我國信息安全風(fēng)險評估工作的現(xiàn)狀與發(fā)展(PPT65頁)

1、我國信息安全風(fēng)險評估工作的現(xiàn)狀與發(fā)展,國家信息中心 信息安全研究與服務(wù)中心 吳亞非,一、信息安全風(fēng)險評估概述 二、為什么要做信息安全風(fēng)險評估 三、我國信息安全風(fēng)險評估回顧 四、信息安全風(fēng)險評估今后三年的發(fā)展,信息安全風(fēng)險評估的概念,信息系統(tǒng)的安全風(fēng)險 信息系統(tǒng)的安全風(fēng)險，是指由于系統(tǒng)存在的脆弱性，人為或自然的威脅導(dǎo)致安全事件發(fā)生的可能性及其造成的影響。,信息安全風(fēng)險評估,是指依據(jù)國家有關(guān)信息技術(shù)標(biāo)準(zhǔn)，對信息系統(tǒng)及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行科學(xué)評價的過程 它要評估信息系統(tǒng)的脆弱性、信息系統(tǒng)面臨的威脅以及脆弱性被威脅源利用后所產(chǎn)生的實際負(fù)面影響，并根據(jù)安全事件

2、發(fā)生的可能性和負(fù)面影響的程度來識別信息系統(tǒng)的安全風(fēng)險。,信息安全風(fēng)險評估,人們的認(rèn)識能力和實踐能力是有局限性的，因此，信息系統(tǒng)存在脆弱性是不可避免的。信息系統(tǒng)的價值及其存在的脆弱性，使信息系統(tǒng)在現(xiàn)實環(huán)境中，總要面臨各種人為與自然的威脅，存在安全風(fēng)險也是必然的。 信息安全建設(shè)的宗旨之一，就是在綜合考慮成本與效益的前提下，通過安全措施來控制風(fēng)險，使殘余風(fēng)險降低到可接受的程度。,信息安全風(fēng)險評估,因為任何信息系統(tǒng)都會有安全風(fēng)險，所以，人們追求的所謂安全的信息系統(tǒng)，實際是指信息系統(tǒng)在實施了風(fēng)險評估并做出風(fēng)險控制后，仍然存在的殘余風(fēng)險可被接受的信息系統(tǒng)。 因此，要追求信息系統(tǒng)的安全，就不能脫離全面、完整

3、的信息系統(tǒng)的安全評估，就必須運用信息系統(tǒng)安全風(fēng)險評估的思想和規(guī)范，對信息系統(tǒng)開展安全風(fēng)險評估。,風(fēng)險評估的意義和作用,1.風(fēng)險評估是信息系統(tǒng)安全的基礎(chǔ)性工作 信息安全中的風(fēng)險評估是傳統(tǒng)的風(fēng)險理論和方法在信息系統(tǒng)中的運用，是科學(xué)地分析和理解信息與信息系統(tǒng)在保密性、完整性、可用性等方面所面臨的風(fēng)險，并在風(fēng)險的減少、轉(zhuǎn)移和規(guī)避等風(fēng)險控制方法之間做出決策的過程。 風(fēng)險評估將導(dǎo)出信息系統(tǒng)的安全需求，因此，所有信息安全建設(shè)都應(yīng)該以風(fēng)險評估為起點。信息安全建設(shè)的最終目的是服務(wù)于信息化，但其直接目的是為了控制安全風(fēng)險。,風(fēng)險評估的意義和作用,只有在正確、全面地了解和理解安全風(fēng)險后，才能決定如何處理安全風(fēng)險，從

4、而在信息安全的投資、信息安全措施的選擇、信息安全保障體系的建設(shè)等問題中做出合理的決策。 進一步，持續(xù)的風(fēng)險評估工作可以成為檢查信息系統(tǒng)本身乃至信息系統(tǒng)擁有單位的績效的有力手段，風(fēng)險評估的結(jié)果能夠供相關(guān)主管單位參考，并使主管單位通過行政手段對信息系統(tǒng)的立項、投資、運行產(chǎn)生影響，促進信息系統(tǒng)擁有單位加強信息安全建設(shè)。,風(fēng)險評估的意義和作用,2.風(fēng)險評估是分級防護和突出重點的具體體現(xiàn) 信息安全建設(shè)的基本原則包括必須從實際出發(fā)，堅持分級防護、突出重點。 風(fēng)險評估正是這一要求在實際工作中的具體體現(xiàn)。 從理論上講，不存在絕對的安全，實踐中也不可能做到絕對安全，風(fēng)險總是客觀存在的。 安全是風(fēng)險與成本的綜合平

5、衡。 盲目追求安全和完全回避風(fēng)險是不現(xiàn)實的，也不是分級防護原則所要求的。 要從實際出發(fā)，堅持分級防護、突出重點，就必須正確地評估風(fēng)險，以便采取科學(xué)、客觀、經(jīng)濟和有效的措施。,風(fēng)險評估的意義和作用,3. 加強風(fēng)險評估工作是當(dāng)前信息安全工作的客觀需要和緊迫需求 由于信息技術(shù)的飛速發(fā)展，關(guān)系國計民生的關(guān)鍵信息基礎(chǔ)設(shè)施的規(guī)模越來越大，同時也極大地增加了系統(tǒng)的復(fù)雜程度。 發(fā)達(dá)國家越來越重視信息安全風(fēng)險評估工作，提倡風(fēng)險評估制度化。他們提出，沒有有效的風(fēng)險評估，便會導(dǎo)致信息安全需求與安全解決方案的嚴(yán)重脫離。因此，他們強調(diào)“沒有任何事情比解決錯誤的問題和建立錯誤的系統(tǒng)更沒有效率的了?！边@些發(fā)達(dá)國家近年來大力

6、加強了以風(fēng)險評估為核心的信息系統(tǒng)安全評估工作，并通過法規(guī)、標(biāo)準(zhǔn)手段加以保障，逐步以此形成了橫跨立法、行政、司法的完整的信息安全管理體系。 在我國目前的國情下，為加強宏觀信息安全管理，促進信息安全保障體系建設(shè)，就必須加強風(fēng)險評估工作，并逐步使風(fēng)險評估工作朝向制度化的方向發(fā)展。,信息安全風(fēng)險評估的目標(biāo)和目的,信息系統(tǒng)安全風(fēng)險評估的總體目標(biāo)是： 服務(wù)于國家信息化發(fā)展，促進信息安全保障體系的建設(shè)，提高信息系統(tǒng)的安全保護能力。 信息系統(tǒng)安全風(fēng)險評估的目的是： 認(rèn)清信息安全環(huán)境、信息安全狀況；有助于達(dá)成共識，明確責(zé)任；采取或完善安全保障措施，使其更加經(jīng)濟有效，并使信息安全策略保持一致性和持續(xù)性。,信息安全

7、風(fēng)險評估的基本要素,使命：一個單位通過信息化實現(xiàn)的工作任務(wù)。 依賴度：一個單位的使命對信息系統(tǒng)和信息的依靠程度。 資產(chǎn)：通過信息化建設(shè)積累起來的信息系統(tǒng)、信息、生產(chǎn)或服務(wù)能力、人員能力和贏得的信譽等。 價值：資產(chǎn)的重要程度和敏感程度。 威脅：一個單位的信息資產(chǎn)的安全可能受到的侵害。威脅由多種屬性來刻畫：威脅的主體（威脅源）、能力、資源、動機、途徑、可能性和后果。,信息安全風(fēng)險評估的基本要素,脆弱性：信息資產(chǎn)及其防護措施在安全方面的不足和弱點。脆弱性也常常被稱為漏洞。 風(fēng)險：由于系統(tǒng)存在的脆弱性，人為或自然的威脅導(dǎo)致安全事件發(fā)生的可能性及其造成的影響。它由安全事件發(fā)生的可能性及其造成的影響這兩種

8、指標(biāo)來衡量。 殘余風(fēng)險：采取了安全防護措施，提高了防護能力后，仍然可能存在的風(fēng)險。,信息安全風(fēng)險評估的基本要素,安全需求：為保證單位的使命能夠正常行使，在信息安全防護措施方面提出的要求。 安全防護措施：對付威脅，減少脆弱性，保護資產(chǎn)，限制意外事件的影響，檢測、響應(yīng)意外事件，促進災(zāi)難恢復(fù)和打擊信息犯罪而實施的各種實踐、規(guī)程和機制的總稱。,風(fēng)險評估對信息系統(tǒng)生命周期的支持,在實施風(fēng)險評估中，有時首先根據(jù)不同級別的威脅對不同價值的資產(chǎn)可能形成的風(fēng)險進行分級，進而選擇適合級別的保證措施。這是一種安全需求提煉的過程。 對于計劃和已經(jīng)建設(shè)的系統(tǒng)，則應(yīng)該考慮和分析測試系統(tǒng)可能存在的脆弱性。 上述工作流程應(yīng)該

9、是一個不斷重復(fù)的循環(huán)過程，從不同階段進入風(fēng)險評估工作也可能進行簡化其中的某些步驟。,風(fēng)險評估理論和工具,通俗的講，信息系統(tǒng)安全追求的是入侵和破壞行為，面對信息系統(tǒng)和信息，進不來，看不懂，拿不走，搞不亂。 風(fēng)險評估的理論和工具也應(yīng)該針對這些基本的安全要求，提供檢測、判斷、分析。,當(dāng)前，國際上提出了一些廣義傳統(tǒng)的風(fēng)險評估的理論（并非特別針對信息系統(tǒng)安全）。 從計算方法區(qū)分，有定性的方法、定量的方法和部分定量的方法。 從實施手段區(qū)分，有基于樹的技術(shù)、動態(tài)系統(tǒng)的技術(shù)等。,定性的方法包括： 初步的風(fēng)險分析 （Preliminary Risk Analysis） 危險和可操作性研究 （Hazard and

10、 Operability studies (HAZOP)） 失效模式及影響分析 （Failure Mode and Effects Analysis (FMEA/FMECA)）,基于樹的技術(shù) （Tree Based Techniques ）包括： 故障樹分析 （Fault tree analysis） 事件樹分析 （Event tree analysis） 因果分析 （Cause-Consequence Analysis） 管理失敗風(fēng)險樹 （ Management Oversight Risk Tree） 安全管理組織檢查技術(shù) （Safety Management Organization R

11、eview Technique）,動態(tài)系統(tǒng)的技術(shù) （Techniques for Dynamic system）包括： 嘗試方法 （ Go Method） 有向圖/故障圖 （Digraph/Fault Graph） 馬爾可夫建模 （Markov Modeling） 動態(tài)事件邏輯分析方法學(xué) （Dynamic Event Logic Analytical Methodology） 動態(tài)事件樹分析方法 （Dynamic Event Tree Analysis Method）,評估工具目前存在以下幾類： 掃描工具：包括主機掃描、網(wǎng)絡(luò)掃描、數(shù)據(jù)庫掃描，用于分析系統(tǒng)的常見漏洞； 入侵檢測系統(tǒng)（IDS）：用

12、于收集與統(tǒng)計威脅數(shù)據(jù)； 滲透性測試工具：黑客工具，用于人工滲透，評估系統(tǒng)的深層次漏洞； 主機安全性審計工具：用于分析主機系統(tǒng)配置的安全性； 安全管理評價系統(tǒng)：用于安全訪談，評價安全管理措施； 風(fēng)險綜合分析系統(tǒng)：在基礎(chǔ)數(shù)據(jù)基礎(chǔ)上，定量、綜合分析系統(tǒng)的風(fēng)險，并且提供分類統(tǒng)計、查詢、TOP N查詢以及報表輸出功能； 評估支撐環(huán)境工具: 評估指標(biāo)庫、知識庫、漏洞庫、算法庫、模型庫。,綜觀這些理論和工具的現(xiàn)狀，存在的問題是： 尚缺乏模型化和形式化描述及證明的科學(xué)深度； 需要解決一般化的廣義的理論如何用于信息系統(tǒng)的安全風(fēng)險評估； 定性，定量的理論方法如何更加有效； 工具運用的結(jié)果如何能夠反映實質(zhì)，有效測度

13、，準(zhǔn)確無誤； 工具的使用如何能夠綜合協(xié)調(diào)。,二、為什么要做信息安全風(fēng)險評估,為什么要做信息安全風(fēng)險評估,第一，風(fēng)險評估是分析確定風(fēng)險的過程。風(fēng)險是客觀存在的，在日常生活和工作中隨處可見。為了了解系統(tǒng)究竟面臨什么風(fēng)險、有多大風(fēng)險，以及應(yīng)該采取什么樣的措施去減少、化解或規(guī)避風(fēng)險，人們經(jīng)常會提出這樣一些問題：什么地方、什么時間可能出問題？會出什么性質(zhì)的問題？出問題的可能性有多大？這些問題可能產(chǎn)生的后果是什么？應(yīng)該采取什么樣的措施加以避免和彌補？并總是試圖找出最合理的答案。這個過程實際就是風(fēng)險評估,為什么要做信息安全風(fēng)險評估,第二，信息安全風(fēng)險評估是信息安全建設(shè)的起點和基礎(chǔ)，對于信息系統(tǒng)也是如此。所有

14、信息安全建設(shè)和管理都應(yīng)該基于信息安全風(fēng)險評估，只有這樣，信息安全建設(shè)才能做到從實際出發(fā)，才能堅持需求主導(dǎo)、突出重點，才能以最小的代價去最大程度地保障信息安全。,為什么要做信息安全風(fēng)險評估,第三，信息安全風(fēng)險評估是信息安全建設(shè)和管理的科學(xué)方法。風(fēng)險評估提供了這么一種方法，它是我們傳統(tǒng)經(jīng)驗方法的總結(jié)和提升，是風(fēng)險理論和技術(shù)的具體應(yīng)用。 信息安全的一個最大特點就是看不見摸不著。在不知不覺中就已經(jīng)中了招，在不知不覺中就已經(jīng)遭受了重大損失。 信息安全要講加強領(lǐng)導(dǎo)，要講責(zé)任制，但如果沒有科學(xué)的方法和手段，即使領(lǐng)導(dǎo)現(xiàn)場坐鎮(zhèn)，即使人盯死守，也仍然可能發(fā)現(xiàn)不了問題，也仍然可能出問題。這就是27號文件強調(diào)管理與技

15、術(shù)并重的根本原因。,為什么要做信息安全風(fēng)險評估,第四，風(fēng)險評估實際上是在倡導(dǎo)一種適度安全。從理論上講，不存在絕對的安全，風(fēng)險總是客觀存在的。風(fēng)險評估并不追求零風(fēng)險、不計成本的絕對安全，或者試圖完全消滅風(fēng)險或避免風(fēng)險。 信息安全風(fēng)險評估要求在認(rèn)清風(fēng)險的基礎(chǔ)上，決定哪些風(fēng)險是必須要避免的，哪些風(fēng)險是可以容忍的。也就是說，信息安全風(fēng)險評估要求我們算賬，要求我們在風(fēng)險與建設(shè)和管理成本之間尋求一個最佳平衡點。 這體現(xiàn)了信息安全的一個基本原則，就是堅持從實際出發(fā)，堅持有針對性地進行信息安全建設(shè)和管理。這也就是適度安全。,為什么要做信息安全風(fēng)險評估,第五，重視風(fēng)險評估是信息化發(fā)達(dá)國家的重要經(jīng)驗。早在上個世紀(jì)

16、70年代初期美國政府就提出了風(fēng)險評估的要求，2002年頒布的2002聯(lián)邦信息安全管理法對信息安全風(fēng)險評估提出了更加具體的要求。歐洲等其他信息化發(fā)達(dá)國家也非常重視開展信息安全風(fēng)險評估工作，將開展信息安全風(fēng)險評估工作作為提高信息安全保障水平的重要手段。發(fā)達(dá)國家的這些經(jīng)驗值得我們學(xué)習(xí)和借鑒。,為什么要做信息安全風(fēng)險評估,2005年2月，美國總統(tǒng)信息技術(shù)顧問委員會（PITAC）向美國總統(tǒng)提交了一份研究報告網(wǎng)絡(luò)空間安全：迫在眉睫的危機，提出美國目前網(wǎng)絡(luò)空間安全所面臨的重大問題包括： 1、IT基礎(chǔ)設(shè)施在恐怖和敵對攻擊面前非常脆弱 2、網(wǎng)絡(luò)漏洞和網(wǎng)絡(luò)攻擊增長速度非常快（2040） 3、無所不在的互聯(lián)意味著處

17、處可能存在安全漏洞 4、軟件是主要漏洞的所在 5、無窮無盡的打補丁并不是好的解決辦法 6、需要新的基礎(chǔ)性安全模型和方法 7、聯(lián)邦政府在研發(fā)工作中的核心地位 8、網(wǎng)絡(luò)空間安全的非技術(shù)因素,為了應(yīng)對這些威脅，在網(wǎng)絡(luò)空間安全：迫在眉睫的危機報告中，PITAC提出了10大優(yōu)先研究項目，其中信息安全風(fēng)險評估位列其中。其主要研究內(nèi)容包括： （1）開發(fā)網(wǎng)絡(luò)空間安全測試方法、評估標(biāo)準(zhǔn) （2）風(fēng)險分析方法和基于不同領(lǐng)域的評估方法（政治、軍事、經(jīng)濟等） （3）安全風(fēng)險以及一致性檢查的自動評估工具的研發(fā) （4）對易受到攻擊對象的評估研究工作，如源代碼掃描工具 （5）通過研究過程管理、配置管理和補丁管理的最佳策略方案

18、，來發(fā)現(xiàn)并提供有效的安全管理實施方案,為什么要做信息安全風(fēng)險評估,三、我國信息安全風(fēng)險評估回顧 調(diào)查與研究 標(biāo)準(zhǔn)編制與試點 政策文件起草,我國信息安全風(fēng)險評估回顧,2003年7月國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見（中辦發(fā)200327號）中專門提出開展風(fēng)險評估的要求 ： 對網(wǎng)絡(luò)與信息系統(tǒng)安全的潛在威脅、薄弱環(huán)節(jié)、防護措施等進行分析評估，綜合考慮網(wǎng)絡(luò)與信息系統(tǒng)的重要性、涉密程度和面臨的風(fēng)險等因素，進行相應(yīng)等級的安全建設(shè)和管理,調(diào)查研究工作,國信辦安全組為落實中辦發(fā)200327號文件的要求，于2003年7月決定委托國家信息中心組建“信息安全風(fēng)險評估課題組”，對我國信息安全風(fēng)險評估工作的

19、現(xiàn)狀進行調(diào)查，提出我國開展風(fēng)險評估的對策和辦法 成員單位：國家信息中心、公安部、安全部、信息產(chǎn)業(yè)部、國家認(rèn)監(jiān)委、國家標(biāo)準(zhǔn)化委、國家密碼管理局、國家保密局、國家計算機網(wǎng)絡(luò)與信息安全中心、中國信息安全產(chǎn)品測評認(rèn)證中心、北京市信息辦、解放軍測評認(rèn)證中心,調(diào)查研究工作,課題組先后對四個地區(qū)(北京、廣州、深圳和上海)，十幾個行業(yè)的50多家單位進行了調(diào)查 完成了信息安全風(fēng)險評估調(diào)查報告、信息安全風(fēng)險評估研究報告和關(guān)于加強信息安全風(fēng)險評估工作的建議稿,調(diào)查報告反映的主要情況及問題,被調(diào)查單位信息化程度各有不同 對風(fēng)險評估的重視程度與信息化程度成正比關(guān)系 國內(nèi)現(xiàn)階段風(fēng)險評估狀況 風(fēng)險評估已逐漸成為信息安全的一

20、個新的點 發(fā)現(xiàn)的八個問題，其中評估流程不規(guī)范是一大問題,研究報告的主要內(nèi)容,信息系統(tǒng)安全風(fēng)險評估的概念 風(fēng)險評估的意義和作用 信息安全風(fēng)險評估的目標(biāo)和目的 信息安全風(fēng)險評估的基本要素 風(fēng)險評估對信息系統(tǒng)生命周期的支持 風(fēng)險評估的一般工作流程 當(dāng)前存在的風(fēng)險評估理論和工具 我國信息系統(tǒng)安全風(fēng)險評估的現(xiàn)狀和問題 信息安全風(fēng)險評估工作的原則 等級保護、認(rèn)證認(rèn)可、風(fēng)險管理、風(fēng)險評估的關(guān)系 自評估、強制性檢查評估與委托評估 信息系統(tǒng)安全風(fēng)險評估的角色和責(zé)任 信息安全風(fēng)險評估的任務(wù)和措施,對風(fēng)險評估工作的建議內(nèi)容,積極貫徹落實27號文件 建立健全和完善信息系統(tǒng)安全風(fēng)險評估的工作機制 統(tǒng)籌建設(shè)信息安全風(fēng)險評

21、估的基礎(chǔ)設(shè)施和基礎(chǔ)環(huán)境 啟動評估工作流程、工作規(guī)范標(biāo)準(zhǔn)的研究與制定 推進基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的信息安全風(fēng)險評估試點示范工作 加強宣傳教育，提高風(fēng)險意識,標(biāo)準(zhǔn)制定工作,根據(jù)信息安全風(fēng)險評估研究報告的建議, 2004年三月下旬課題組專家經(jīng)過充分的討論與分析，報國務(wù)院信息辦安全組批準(zhǔn),開展了信息安全風(fēng)險評估指南和信息安全風(fēng)險管理指南二個規(guī)范草案的制定。 國家信息中心信息安全研究與服務(wù)中心組織了近二十家有實際工作經(jīng)驗的企事業(yè)單位約四十多人，開了二十多次工作會議，進行了信息安全風(fēng)險評估標(biāo)準(zhǔn)規(guī)范草案的制定工作；到九月下旬, 完成信息安全風(fēng)險評估指南和信息安全風(fēng)險管理指南二個規(guī)范草案的初稿。,標(biāo)準(zhǔn)制定

22、工作,2004年全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會將信息安全風(fēng)險評估指南列入2005年度國家信息安全標(biāo)準(zhǔn)制定工作計劃中, 將信息安全風(fēng)險管理指南列入國家信息安全標(biāo)準(zhǔn)研究工作規(guī)劃中。目前信息安全風(fēng)險評估指南已完成評審, 報國家標(biāo)準(zhǔn)管理委員會頒布 國信辦已以國信【2006】9號文的形式發(fā)各部委和省市,信息安全風(fēng)險評估指南主要內(nèi)容,規(guī)定了信息安全風(fēng)險評估的工作流程、評估內(nèi)容、評估方法和風(fēng)險判斷準(zhǔn)則。 介紹了風(fēng)險評估的定義、風(fēng)險評估的模型以及風(fēng)險評估的實施過程 詳細(xì)描述了對資產(chǎn)、威脅和脆弱性的識別方法 描述了風(fēng)險評估在信息系統(tǒng)生命周期中的作用 描述了風(fēng)險評估的不同形式 在附件中介紹了信息安全風(fēng)險評估的方法、

23、工具和實施案例,信息安全風(fēng)險評估指南主要作用,指導(dǎo)識別信息系統(tǒng)中存在的風(fēng)險，為確立信息系統(tǒng)安全等級提供參考 指導(dǎo)信息系統(tǒng)的安全管理 為執(zhí)法部門監(jiān)督提供參考 為項目審查部門在審批和驗收信息系統(tǒng)時提供參考 為信息系統(tǒng)業(yè)務(wù)發(fā)生變更時提供安全參考,信息安全風(fēng)險管理指南主要內(nèi)容,明確了風(fēng)險管理的目的和意義：在安全措施的成本與資產(chǎn)價值之間尋求平衡，保護信息系統(tǒng) 定義了信息安全風(fēng)險管理的內(nèi)容和過程 風(fēng)險評估 風(fēng)險減緩：根據(jù)評估結(jié)果，選擇合適的方法控制風(fēng)險 風(fēng)險決策：判斷殘余風(fēng)險是否處在可接受的范圍內(nèi),全國風(fēng)險評估試點工作,2005年，國信辦安全組組織北京市、上海市、黑龍江省、云南省、人民銀行、國家稅務(wù)總局、

24、國家電力總公司和國家信息中心八個部門的近20家單位開展風(fēng)險評估試點工作 國家信息中心負(fù)責(zé)試點工作的實施方案設(shè)計，標(biāo)準(zhǔn)培訓(xùn)，到各試點單位調(diào)研，匯總各地試點報告，參與政策文件草工作,試點工作的目的,在現(xiàn)有基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的管理體制下，探索如何推進開展信息安全風(fēng)險評估工作 檢驗國家標(biāo)準(zhǔn)草案信息安全風(fēng)險評估指南和信息安全風(fēng)險管理指南的可行性與可用性 為全面推廣信息安全風(fēng)險評估工作和出臺相關(guān)政策文件做前期準(zhǔn)備,試點工作總結(jié),2005年9月，在上海召開總結(jié)大會。國務(wù)院信息辦曲維枝副主任到會聽取了各試點單位的工作匯報,對試點工作的成果給予了高度評價,政策文件起草,在調(diào)研和試點的基礎(chǔ)上，國信辦會同公

25、安部、安全部、國家保密局、密碼管理局、總參三部等部門及有關(guān)專家起草了關(guān)于開展信息安全風(fēng)險評估工作的意見征求意見稿，反復(fù)征求了國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組成員單位、重要信息系統(tǒng)主管部門、國家信息化專家咨詢委員會以及各試點單位意見，數(shù)易其稿。,政策文件起草,2005年12月16日國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組開會討論通過了關(guān)于開展信息安全風(fēng)險評估工作的意見， 2006年元月6日國務(wù)院信息化工作辦公室將關(guān)于開展信息安全風(fēng)險評估工作的意見印發(fā)中央各部委和全國省市。,政策文件起草,關(guān)于開展信息安全風(fēng)險評估工作的意見的印發(fā)，標(biāo)志著我國信息安全領(lǐng)域一項基礎(chǔ)性、全局性的新工作正式啟動。,四、信息安全風(fēng)險評估今后三年

26、的發(fā)展,目標(biāo)：,用三年左右的時間在我國基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)普遍推行信息安全風(fēng)險評估工作，全面提高我國信息安全的科學(xué)管理水平，提升網(wǎng)絡(luò)和信息系統(tǒng)安全保障能力，為保障和促進我國信息化發(fā)展服務(wù)。,高度重視組織管理工作,各信息化和信息安全主管部門要充分認(rèn)識風(fēng)險評估工作對于提高信息安全管理水平的重要意義，切實加強對風(fēng)險評估工作的管理，抓緊制定貫徹落實的辦法，積極穩(wěn)妥地推進。要從抓試點開始，逐步探索組織實施和管理的經(jīng)驗，,高度重視組織管理工作,信息系統(tǒng)擁有、運營或使用單位和有關(guān)管理部門要按照“誰主管、誰負(fù)責(zé)，誰運營、誰負(fù)責(zé)”的原則，在信息安全風(fēng)險評估工作中切實負(fù)起組織領(lǐng)導(dǎo)的責(zé)任； 將開展風(fēng)險評估工作

27、制度化，定期組織實施信息系統(tǒng)自評估，積極配合有關(guān)部門的檢查評估，并將開展風(fēng)險評估的費用列入系統(tǒng)運行維護費用； 有關(guān)部門要將開展信息安全風(fēng)險評估作為基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)規(guī)劃、建設(shè)和等級保護監(jiān)管工作的重要內(nèi)容。,風(fēng)險評估工作應(yīng)當(dāng)貫穿信息系統(tǒng)全生命周期,信息安全風(fēng)險評估也是落實等級保護制度的重要手段，應(yīng)通過信息安全風(fēng)險評估為信息系統(tǒng)確定安全等級提供依據(jù)，根據(jù)風(fēng)險評估的結(jié)果檢驗網(wǎng)絡(luò)與信息系統(tǒng)的防護水平是否符合等級保護的要求。,三個評估環(huán)節(jié),信息系統(tǒng)規(guī)劃設(shè)計階段：通過評估明確安全需求、安全目標(biāo)和安全保障措施，為項目審批提供依據(jù) 信息系統(tǒng)驗收階段：通過評估驗證已設(shè)計安裝的安全措施能否實現(xiàn)安全目標(biāo)，為項目驗收提供依據(jù)