關(guān)于政務(wù)信息系統(tǒng)風(fēng)險(xiǎn)評估實(shí)施要點(diǎn)

1、政務(wù)信息系統(tǒng)去評估實(shí)施要點(diǎn)【經(jīng)典資料，WORD文檔，可編輯修改】【經(jīng)典考試資料，答案附后，看后必過，WORD文檔，可修改】政務(wù)信息系統(tǒng)風(fēng)險(xiǎn)評估實(shí)施要點(diǎn)【摘要】文章介紹了政務(wù)信息系統(tǒng)風(fēng)險(xiǎn)評估實(shí)施的要點(diǎn)，包括風(fēng)險(xiǎn)評估的目的、范圍及風(fēng)險(xiǎn)評估模型，風(fēng)險(xiǎn)評估項(xiàng)目的具體工作流程及相關(guān)方法、工具,以及為完成好風(fēng)險(xiǎn)評估項(xiàng)目所必備的相關(guān)項(xiàng)目管理要求。文章對于指導(dǎo)信息系統(tǒng)風(fēng)險(xiǎn)評估項(xiàng)目實(shí)施工作有很好的借鑒作用?！娟P(guān)鍵詞】風(fēng)險(xiǎn)評估；風(fēng)險(xiǎn)分析；項(xiàng)目管理【abstractthisarticledescribesthemainpointsoftheriskassessmentoftheimplementationofthe

2、governmentinformationsystem,includingriskassessmentpurpose,scopeandriskassessmentmodels,riskassessmentprojectspecificworkprocessesandmethods,tools,andrelateditemsnecessaryforthecompletionoftheriskassessmentprojectmanagementrequirements.goodreferenceforguidingtheriskassessmentofinformationsystemsproj

3、ectimplementation.【keywordsriskassessment;riskanalysis;projectmanagement0引言政務(wù)信息系統(tǒng)關(guān)系到國計(jì)民生，因此保障電子政務(wù)系統(tǒng)的信息安全是我國經(jīng)濟(jì)與社會信息化的先決條件之一，是國家信息化建設(shè)的重要內(nèi)容。如何保證政務(wù)信息系統(tǒng)的安全性，風(fēng)險(xiǎn)評估是一項(xiàng)很基礎(chǔ)的工作。通過對政務(wù)信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評估，可以了解信息與網(wǎng)絡(luò)系統(tǒng)目前與未來的風(fēng)險(xiǎn)所在，充分評估這些風(fēng)險(xiǎn)可能帶來的威脅與影響的程度，依據(jù)系統(tǒng)的風(fēng)險(xiǎn)和威脅，進(jìn)行針對性的防范，做到“對癥下藥”，可以有效解決政務(wù)信息系統(tǒng)的安全問題。政務(wù)系統(tǒng)風(fēng)險(xiǎn)評估概述風(fēng)險(xiǎn)評估的概念政務(wù)系統(tǒng)的信息安全關(guān)

4、心的是保護(hù)政務(wù)信息資產(chǎn)免受威脅。風(fēng)險(xiǎn)評估是有效保證信息安全的前提條件，也是建立在網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)、實(shí)施風(fēng)險(xiǎn)管理程序所開展的一項(xiàng)基礎(chǔ)性工作。其工作原理是對系統(tǒng)所采用的安全策略和管理制度進(jìn)行評審，發(fā)現(xiàn)不合理的地方，采用模擬化攻擊的方式對系統(tǒng)可能存在的安全漏洞進(jìn)行逐項(xiàng)檢查，確定存在的安全問題與風(fēng)險(xiǎn)級別。并根據(jù)檢查結(jié)果向系統(tǒng)管理員提供周密可靠的安全性分析報(bào)告，為提高網(wǎng)絡(luò)安全整體水平提供重要依據(jù)。風(fēng)險(xiǎn)評估的目的是全面、準(zhǔn)確地了解政務(wù)信息系統(tǒng)的安全現(xiàn)狀，發(fā)現(xiàn)系統(tǒng)的安全問題及其可能的危害，為后期進(jìn)一步安全防護(hù)技術(shù)的實(shí)施提供了嚴(yán)謹(jǐn)?shù)陌踩碚撘罁?jù)，為決策者制定網(wǎng)絡(luò)安全策略、構(gòu)架安全體系以及確定有效的安全措施、選

5、擇可靠的安全產(chǎn)品、建立全面的安全防護(hù)層次提供了一套完整、規(guī)范的指導(dǎo)模型。1.2風(fēng)險(xiǎn)評估的范圍政務(wù)信息系統(tǒng)風(fēng)險(xiǎn)評估的內(nèi)容與范圍需要涵蓋整個(gè)系統(tǒng)，包括系統(tǒng)安全管理的狀況、網(wǎng)絡(luò)及安全防護(hù)技術(shù)架構(gòu)、通信鏈路、系統(tǒng)數(shù)據(jù)及業(yè)務(wù)系統(tǒng)加密情況、系統(tǒng)訪問控制狀況等。在政務(wù)信息系統(tǒng)的安全防護(hù)工作中，“人”是關(guān)鍵要素，無論系統(tǒng)所采用的安全技術(shù)、安全策略和安全手段多么現(xiàn)代化與智能化，都需要“人”去操作、運(yùn)行和管理。如果信息系統(tǒng)的安全管理水平落后，人員素質(zhì)不高，那么政務(wù)信息系統(tǒng)的安全性就會減弱，安全漏洞就會增加。風(fēng)險(xiǎn)評估的原則和依據(jù)指導(dǎo)原則由于政務(wù)信息系統(tǒng)風(fēng)險(xiǎn)評估涉及的內(nèi)容較多，因此在進(jìn)行評估時(shí)就需要本著多角度、多層面

6、的原則，從軟件到硬件，從理論到實(shí)際，從技術(shù)到管理，從設(shè)備到人員，來具體制定詳細(xì)的評估計(jì)劃和分析步驟，避免遺漏。在評估時(shí)一般需遵循的如下幾個(gè)原則：標(biāo)準(zhǔn)性、可靠性、可控性、保密性、技術(shù)先進(jìn)和成熟性、全面性、高效性、持續(xù)性。相關(guān)法規(guī)和政策中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例(國務(wù)院令147號)；商用密碼管理?xiàng)l例(國務(wù)院令273號)；計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則；計(jì)算機(jī)機(jī)房場地安全要求(gb9361-88);信息安全技術(shù)-信息安全風(fēng)險(xiǎn)評估規(guī)范(gb/t209842007)。政務(wù)信息風(fēng)險(xiǎn)評估工作流程系統(tǒng)調(diào)查開展政務(wù)信息系統(tǒng)風(fēng)險(xiǎn)評估的第一步就是進(jìn)行系統(tǒng)調(diào)查。通過調(diào)查政務(wù)信息系統(tǒng)上運(yùn)行的所有應(yīng)用，

7、了解系統(tǒng)主要業(yè)務(wù)的流程，清楚的掌握支持業(yè)務(wù)運(yùn)行的硬件基礎(chǔ)設(shè)施的結(jié)構(gòu)及安全系統(tǒng)現(xiàn)狀，收集風(fēng)險(xiǎn)評估所需的系統(tǒng)全部信息。在進(jìn)行系統(tǒng)調(diào)查的同時(shí)，還需對系統(tǒng)風(fēng)險(xiǎn)評估的評估范圍進(jìn)行分析、界定。對系統(tǒng)邊界進(jìn)行明確定義，有助于防止不必要的工作，并對改進(jìn)風(fēng)險(xiǎn)評估的質(zhì)量都是很重要的。資產(chǎn)分析政務(wù)信息系統(tǒng)風(fēng)險(xiǎn)評估的對象是該信息系統(tǒng)范圍內(nèi)的所有資產(chǎn)。首先在劃定的評估范圍內(nèi)，根據(jù)系統(tǒng)拓?fù)鋱D及業(yè)務(wù)系統(tǒng)流程圖，列出政務(wù)系統(tǒng)中全部的物理資產(chǎn)、軟件資產(chǎn)及數(shù)據(jù)資產(chǎn)。在識別出所有信息資產(chǎn)后，接著是為每項(xiàng)資產(chǎn)賦予價(jià)值。在進(jìn)行資產(chǎn)估價(jià)時(shí)，不僅需要考慮資產(chǎn)的自身價(jià)值，更重要的是要考慮資產(chǎn)對于組織的重要性，即根據(jù)資產(chǎn)損失所引發(fā)的潛在的影響

8、來決定具體資產(chǎn)的賦值。威脅分析威脅是指可能對資產(chǎn)或組織造成危害或破壞事故的潛在原因。作為風(fēng)險(xiǎn)評估的重要因素之一，威脅是一個(gè)客觀存在的事物，無論對于多么安全的信息系統(tǒng)，它都存在。威脅分析首先要對組織需要保護(hù)的每一項(xiàng)關(guān)鍵資產(chǎn)進(jìn)行威脅識別。識別出威脅由誰或什么事物引發(fā)以及威脅影響的資產(chǎn)是什么，即確認(rèn)威脅的主體和客體。接著要做的是對每種威脅的嚴(yán)重性和發(fā)生的可能性進(jìn)行分析，最終為其賦一相對等級值（0-5）。分析威脅發(fā)生的可能性是這一階段的重要工作，評估者一般需要根據(jù)經(jīng)驗(yàn)和行業(yè)統(tǒng)計(jì)數(shù)據(jù)來判斷威脅發(fā)生的頻率或者發(fā)生的概率。脆弱性測試脆弱性測試主要是對關(guān)鍵主機(jī)操作系統(tǒng)進(jìn)行網(wǎng)絡(luò)掃描，以發(fā)現(xiàn)系統(tǒng)安全漏洞。對服務(wù)器

9、進(jìn)行應(yīng)用層掃描，以發(fā)現(xiàn)應(yīng)用系統(tǒng)的安全漏洞。脆弱性測試所采用的方法主要為工具掃描、滲透測試等。安全功能測試安全功能測試的主要對象是系統(tǒng)中的網(wǎng)絡(luò)設(shè)備、安全設(shè)備等。由于這些設(shè)備的作用是保障信息系統(tǒng)的穩(wěn)定與安全，因此其自身的安全性也必然關(guān)系到真?zhèn)€系統(tǒng)的安全性是否可用、可控和可信。安全功能測試的主要內(nèi)容包括：網(wǎng)絡(luò)與安全設(shè)備的管理是否安全，安全系統(tǒng)所提供的防護(hù)措施是否正常和正確，網(wǎng)絡(luò)及安全設(shè)備的配置是否最優(yōu)，網(wǎng)絡(luò)及安全設(shè)備是否存在漏洞或后門，網(wǎng)絡(luò)與安全設(shè)備自身的保護(hù)機(jī)制是否實(shí)現(xiàn)，網(wǎng)絡(luò)及安全設(shè)備是否定期升級或更新。安全管理檢查安全管理檢查主要是檢查政務(wù)信息系統(tǒng)的安全管理制度及相關(guān)記錄，確保安全管理體系健全并

10、能發(fā)揮作用。在這一環(huán)節(jié)，評估人員可根據(jù)公安部、國家保密局頒布的信息系統(tǒng)安全管理的相關(guān)標(biāo)準(zhǔn)中的要求，通過問卷調(diào)查、翻閱管理制度及檢查相關(guān)記錄等方式對系統(tǒng)安全管理方面的脆弱性進(jìn)行評估。具體評估時(shí)，可將系統(tǒng)現(xiàn)有的安全管理制度以及相關(guān)安全策略與國家相關(guān)標(biāo)準(zhǔn)的要求進(jìn)行審計(jì)，查出系統(tǒng)安全管理中遺漏或管理薄弱的部分。脆弱性分析脆弱性是指系統(tǒng)資產(chǎn)分析階段中所列資產(chǎn)中能被系統(tǒng)威脅分析階段中列出的系統(tǒng)威脅所利用的弱點(diǎn)。具體包括物理環(huán)境脆弱性、組織機(jī)構(gòu)脆弱性、業(yè)務(wù)流程脆弱性、人員脆弱性、管理脆弱性、硬件系統(tǒng)脆弱性、軟件及通訊設(shè)施脆弱性等各個(gè)方面，上述脆弱性都可能被各種安全威脅利用來侵害政務(wù)信息系統(tǒng)。常用的脆弱性評估

11、方法主要有問卷調(diào)查、人員問詢、工具掃描、手動檢查、文檔審查、滲透測試等。風(fēng)險(xiǎn)分析安全風(fēng)險(xiǎn)是指系統(tǒng)中特定的威脅利用資產(chǎn)的一種或幾種脆弱性，導(dǎo)致資產(chǎn)的損壞或丟失的潛在可能性，即特定威脅事件發(fā)生的可能性與后果的結(jié)合。在完成系統(tǒng)資產(chǎn)、威脅和脆弱性的分析后，就進(jìn)入系統(tǒng)安全風(fēng)險(xiǎn)的評估階段。在這個(gè)過程中,評估人員需要根據(jù)資產(chǎn)、威脅及脆弱性分析的結(jié)果，選擇適當(dāng)?shù)娘L(fēng)險(xiǎn)測量方法或工具來確定風(fēng)險(xiǎn)的大小與風(fēng)險(xiǎn)等級。安全建議系統(tǒng)安全建議是以風(fēng)險(xiǎn)評估的結(jié)果為基礎(chǔ)，以解決風(fēng)險(xiǎn)評估所發(fā)現(xiàn)的問題為目的，通過實(shí)施安全建議的內(nèi)容，能使信息系統(tǒng)的安全性得到增強(qiáng)。安全建議分為評估結(jié)果的漏洞修補(bǔ)建議、系統(tǒng)架構(gòu)建議、系統(tǒng)安全建議、安全管理

12、策略建議。漏洞修補(bǔ)建議漏洞修補(bǔ)建議是為了消除風(fēng)險(xiǎn)評估項(xiàng)目中發(fā)現(xiàn)的各種安全漏洞所做出的安全建議，使得信息系統(tǒng)整體的安全得到增強(qiáng)。系統(tǒng)安全建議系統(tǒng)安全建議又分為網(wǎng)絡(luò)設(shè)備安全建議、操作系統(tǒng)安全建議、應(yīng)用系統(tǒng)與數(shù)據(jù)庫系統(tǒng)安全建議系統(tǒng)架構(gòu)建議系統(tǒng)架構(gòu)建議是針對體系結(jié)構(gòu)分析所得出的風(fēng)險(xiǎn)因素以及與體系結(jié)構(gòu)有關(guān)的各種風(fēng)險(xiǎn)因素提出的安全建議。安全管理策略建議僅憑安全技術(shù)不能解決所有的安全問題，“三分技術(shù)、七分管理”已經(jīng)形成共識在以往的安全評估項(xiàng)目中發(fā)現(xiàn)，絕大部分的安全問題都是由于缺乏安全意識、配置不當(dāng)造成的，比如弱密碼、沒有加載最新補(bǔ)丁等。因此，建立政務(wù)信息系統(tǒng)安全管理體系非常必要。風(fēng)險(xiǎn)評估項(xiàng)目文檔風(fēng)險(xiǎn)評估項(xiàng)目

13、完成后，提交的文檔主要分為兩類，一類是項(xiàng)目管理類的文檔，一類是風(fēng)險(xiǎn)評估技術(shù)文檔。風(fēng)險(xiǎn)評估技術(shù)文檔主要有：1）政務(wù)網(wǎng)絡(luò)與信息系統(tǒng)資產(chǎn)評估報(bào)告；2）政務(wù)網(wǎng)絡(luò)與信息系統(tǒng)威脅評估報(bào)告；3）政務(wù)網(wǎng)絡(luò)與信息系統(tǒng)安全掃描報(bào)告；4）政務(wù)網(wǎng)絡(luò)與信息系統(tǒng)脆弱性評估報(bào)告；5）政務(wù)網(wǎng)絡(luò)與信息系統(tǒng)風(fēng)險(xiǎn)分析報(bào)告；6）政務(wù)網(wǎng)絡(luò)與信息系統(tǒng)安全風(fēng)險(xiǎn)評估評估報(bào)告；7）政務(wù)網(wǎng)絡(luò)與信息系統(tǒng)安全建議方案；8）政務(wù)網(wǎng)絡(luò)與信息系統(tǒng)安全策略。項(xiàng)目管理類文檔主要有：1）項(xiàng)目工程管理計(jì)劃書；2）項(xiàng)目工程實(shí)施計(jì)劃書；3）項(xiàng)目完工報(bào)告；4）項(xiàng)目驗(yàn)收申請報(bào)告；5）項(xiàng)目驗(yàn)收報(bào)告；6）項(xiàng)目實(shí)施日報(bào)；7）項(xiàng)目實(shí)施周報(bào)；8）項(xiàng)目實(shí)施報(bào)告。風(fēng)險(xiǎn)評估項(xiàng)目組織及管

14、理項(xiàng)目管理概述政務(wù)網(wǎng)絡(luò)與信息系統(tǒng)風(fēng)險(xiǎn)評估項(xiàng)目實(shí)施的管理體系可基于系統(tǒng)安全工程能力成熟模型sse-cmm（systemssecurityengineeringcapabilitymaturitymodel）。sse-cmm的目的是建立和完善一套成熟的、可度量的信息安全工程過程。該模型定義了一個(gè)安全工程過程應(yīng)有的特征，這些特征是完善的安全工程的根本保證。這個(gè)安全工程對于任何工程活動均是清晰定義的、可管理的、可測量的、可控制的并且是有效的。項(xiàng)目實(shí)施組織架構(gòu)我們建議的項(xiàng)目組織結(jié)構(gòu)主要包括：項(xiàng)目領(lǐng)導(dǎo)小組、工程實(shí)施小組（包括項(xiàng)目經(jīng)理、系統(tǒng)技術(shù)負(fù)責(zé)人和系統(tǒng)設(shè)備負(fù)責(zé)人等）、質(zhì)量保障小組等。項(xiàng)目領(lǐng)導(dǎo)小組按照系統(tǒng)

15、工程建設(shè)原則，建議設(shè)置項(xiàng)目領(lǐng)導(dǎo)組。領(lǐng)導(dǎo)組將對整個(gè)系統(tǒng)建設(shè)起到宏觀調(diào)控作用，該組由機(jī)構(gòu)負(fù)責(zé)人統(tǒng)一領(lǐng)導(dǎo)。技術(shù)總負(fù)責(zé)人在政務(wù)網(wǎng)絡(luò)與信息系統(tǒng)風(fēng)險(xiǎn)評估項(xiàng)目建設(shè)中承擔(dān)安全技術(shù)顧問，和負(fù)責(zé)監(jiān)督整個(gè)項(xiàng)目的實(shí)施過程，是否符合計(jì)劃要求。項(xiàng)目經(jīng)理是項(xiàng)目團(tuán)隊(duì)的領(lǐng)導(dǎo)者，他所肩負(fù)的責(zé)任就是領(lǐng)導(dǎo)團(tuán)隊(duì)準(zhǔn)時(shí)、優(yōu)質(zhì)地完成全部工作。作為項(xiàng)目的指揮者，項(xiàng)目經(jīng)理要擔(dān)任的職責(zé)是對項(xiàng)目的計(jì)劃、組織和控制。技術(shù)組主要職責(zé)是負(fù)責(zé)完成各項(xiàng)風(fēng)險(xiǎn)評估任務(wù)，如系統(tǒng)調(diào)查、資產(chǎn)分析、威脅分析、脆弱性測試、安全功能測試、安全管理檢查、體系結(jié)構(gòu)分析、脆弱性分析、安全措施分析、風(fēng)險(xiǎn)分析、安全建議、安全風(fēng)險(xiǎn)評估過程中文檔的編輯整理等工作。質(zhì)量保證組負(fù)責(zé)協(xié)助項(xiàng)目經(jīng)

16、理制訂項(xiàng)目的質(zhì)量計(jì)劃，并監(jiān)督其貫徹實(shí)施；參與本項(xiàng)目的評審和其它重要質(zhì)量活動，并對評審和其他質(zhì)量活動提出的問題進(jìn)行跟蹤檢查。文檔匯編組負(fù)責(zé)管理由各組在實(shí)施和服務(wù)過程中所填寫的各種記錄文檔和其它技術(shù)資料，包括電子文檔和文字材料。在項(xiàng)目進(jìn)行的各個(gè)階段督促相關(guān)人員按時(shí)完成各種文檔，工程交付后負(fù)責(zé)所有技術(shù)、質(zhì)量文件的整理歸檔。項(xiàng)目實(shí)施流程風(fēng)險(xiǎn)評估項(xiàng)目的實(shí)施流程如圖2所示。風(fēng)險(xiǎn)評估項(xiàng)目質(zhì)量控制風(fēng)險(xiǎn)評估項(xiàng)目過程控制的實(shí)施要點(diǎn)是，制定并執(zhí)行文件化的過程控制程序，對系統(tǒng)質(zhì)量形成過程的五個(gè)基本要素實(shí)施全面控制與管理，一旦發(fā)生偏離能夠立即發(fā)現(xiàn)和糾正，確保過程輸出質(zhì)量符合規(guī)定要求。五個(gè)要素是指：人(ma。、機(jī)(mac

17、hine)、物(matter)、料(material)、環(huán)境(environment)。其具體控制要求如下。1)確保直接影響工程實(shí)施質(zhì)量的風(fēng)險(xiǎn)評估過程處于受控狀態(tài)。受控狀態(tài)主要包括：按項(xiàng)目實(shí)施計(jì)劃的要求完成各階段的工作，并建立完成合格的標(biāo)志。對評估階段制定相應(yīng)的實(shí)施方案及中間文檔?，F(xiàn)場使用的所有中間文檔均應(yīng)文文一致、完整、清晰并現(xiàn)行有效。使用合適的評估工具，并安排適宜的運(yùn)行環(huán)境。嚴(yán)格按有關(guān)標(biāo)準(zhǔn)/法規(guī)、質(zhì)量計(jì)劃和實(shí)施方案的規(guī)定操作。評估時(shí)，對重要的業(yè)務(wù)和應(yīng)用系統(tǒng)進(jìn)行特殊的監(jiān)視和控制?？尚械那闆r下，對某些業(yè)務(wù)和應(yīng)用的某些評估手段進(jìn)行限制。實(shí)施人員的技術(shù)水平必須達(dá)到一定的要求，并持有相關(guān)資質(zhì)證書。2)對關(guān)鍵性的工作應(yīng)制定相應(yīng)的實(shí)施方案，并嚴(yán)格按照方案和質(zhì)量控制要求進(jìn)行實(shí)施，且必須由具備資格或能力的實(shí)施人員來完成，操作過程必須進(jìn)行連續(xù)監(jiān)視和控制，以確保滿足規(guī)定要求。5結(jié)束語重視政務(wù)信息系統(tǒng)安全風(fēng)險(xiǎn)評估是信息化比較發(fā)達(dá)的國家的基本經(jīng)驗(yàn)。我國當(dāng)前也高度重視信息系統(tǒng)安全保障工作，尤其是關(guān)系到國計(jì)民生的政府信息系統(tǒng)的安全保障工作