我國信息安全風(fēng)險評估工作的現(xiàn)狀與發(fā)展

我國信息安全風(fēng)險評估工作的現(xiàn)狀與發(fā)展國家信息中心信息安全研究與服務(wù)中心吳亞非一、信息安全風(fēng)險評估概述二、為什么要做信息安全風(fēng)險評估三、我國信息安全風(fēng)險評估回顧四、信息安全風(fēng)險評估今后三年的發(fā)展信息安全風(fēng)險評估的概念信息系統(tǒng)的安全風(fēng)險信息系統(tǒng)的安全風(fēng)險，是指由于系統(tǒng)存在的脆弱性，人為或自然的威脅導(dǎo)致安全事件發(fā)生的可能性及其造成的影響。

信息安全風(fēng)險評估

是指依據(jù)國家有關(guān)信息技術(shù)標(biāo)準(zhǔn)，對信息系統(tǒng)及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行科學(xué)評價的過程它要評估信息系統(tǒng)的脆弱性、信息系統(tǒng)面臨的威脅以及脆弱性被威脅源利用后所產(chǎn)生的實際負面影響，并根據(jù)安全事件發(fā)生的可能性和負面影響的程度來識別信息系統(tǒng)的安全風(fēng)險。信息安全風(fēng)險評估人們的認(rèn)識能力和實踐能力是有局限性的，因此，信息系統(tǒng)存在脆弱性是不可避免的。信息系統(tǒng)的價值及其存在的脆弱性，使信息系統(tǒng)在現(xiàn)實環(huán)境中，總要面臨各種人為與自然的威脅，存在安全風(fēng)險也是必然的。信息安全建設(shè)的宗旨之一，就是在綜合考慮成本與效益的前提下，通過安全措施來控制風(fēng)險，使殘余風(fēng)險降低到可接受的程度。信息安全風(fēng)險評估因為任何信息系統(tǒng)都會有安全風(fēng)險，所以，人們追求的所謂安全的信息系統(tǒng)，實際是指信息系統(tǒng)在實施了風(fēng)險評估并做出風(fēng)險控制后，仍然存在的殘余風(fēng)險可被接受的信息系統(tǒng)。因此，要追求信息系統(tǒng)的安全，就不能脫離全面、完整的信息系統(tǒng)的安全評估，就必須運用信息系統(tǒng)安全風(fēng)險評估的思想和規(guī)范，對信息系統(tǒng)開展安全風(fēng)險評估。

風(fēng)險評估的意義和作用1.風(fēng)險評估是信息系統(tǒng)安全的基礎(chǔ)性工作信息安全中的風(fēng)險評估是傳統(tǒng)的風(fēng)險理論和方法在信息系統(tǒng)中的運用，是科學(xué)地分析和理解信息與信息系統(tǒng)在保密性、完整性、可用性等方面所面臨的風(fēng)險，并在風(fēng)險的減少、轉(zhuǎn)移和規(guī)避等風(fēng)險控制方法之間做出決策的過程。風(fēng)險評估將導(dǎo)出信息系統(tǒng)的安全需求，因此，所有信息安全建設(shè)都應(yīng)該以風(fēng)險評估為起點。信息安全建設(shè)的最終目的是服務(wù)于信息化，但其直接目的是為了控制安全風(fēng)險。風(fēng)險評估的意義和作用只有在正確、全面地了解和理解安全風(fēng)險后，才能決定如何處理安全風(fēng)險，從而在信息安全的投資、信息安全措施的選擇、信息安全保障體系的建設(shè)等問題中做出合理的決策。進一步，持續(xù)的風(fēng)險評估工作可以成為檢查信息系統(tǒng)本身乃至信息系統(tǒng)擁有單位的績效的有力手段，風(fēng)險評估的結(jié)果能夠供相關(guān)主管單位參考，并使主管單位通過行政手段對信息系統(tǒng)的立項、投資、運行產(chǎn)生影響，促進信息系統(tǒng)擁有單位加強信息安全建設(shè)。風(fēng)險評估的意義和作用2.風(fēng)險評估是分級防護和突出重點的具體體現(xiàn)信息安全建設(shè)的基本原則包括必須從實際出發(fā)，堅持分級防護、突出重點。風(fēng)險評估正是這一要求在實際工作中的具體體現(xiàn)。從理論上講，不存在絕對的安全，實踐中也不可能做到絕對安全，風(fēng)險總是客觀存在的。安全是風(fēng)險與成本的綜合平衡。盲目追求安全和完全回避風(fēng)險是不現(xiàn)實的，也不是分級防護原則所要求的。要從實際出發(fā)，堅持分級防護、突出重點，就必須正確地評估風(fēng)險，以便采取科學(xué)、客觀、經(jīng)濟和有效的措施。風(fēng)險評估的意義和作用3.加強風(fēng)險評估工作是當(dāng)前信息安全工作的客觀需要和緊迫需求由于信息技術(shù)的飛速發(fā)展，關(guān)系國計民生的關(guān)鍵信息基礎(chǔ)設(shè)施的規(guī)模越來越大，同時也極大地增加了系統(tǒng)的復(fù)雜程度。發(fā)達國家越來越重視信息安全風(fēng)險評估工作，提倡風(fēng)險評估制度化。他們提出，沒有有效的風(fēng)險評估，便會導(dǎo)致信息安全需求與安全解決方案的嚴(yán)重脫離。因此，他們強調(diào)“沒有任何事情比解決錯誤的問題和建立錯誤的系統(tǒng)更沒有效率的了。”這些發(fā)達國家近年來大力加強了以風(fēng)險評估為核心的信息系統(tǒng)安全評估工作，并通過法規(guī)、標(biāo)準(zhǔn)手段加以保障，逐步以此形成了橫跨立法、行政、司法的完整的信息安全管理體系。在我國目前的國情下，為加強宏觀信息安全管理，促進信息安全保障體系建設(shè)，就必須加強風(fēng)險評估工作，并逐步使風(fēng)險評估工作朝向制度化的方向發(fā)展。信息息安安全全風(fēng)風(fēng)險險評評估估的的目目標(biāo)標(biāo)和和目目的的信息息系系統(tǒng)統(tǒng)安安全全風(fēng)風(fēng)險險評評估估的的總總體體目目標(biāo)標(biāo)是是：：服務(wù)務(wù)于于國國家家信信息息化化發(fā)發(fā)展展，，促促進進信信息息安安全全保保障障體體系系的的建建設(shè)設(shè)，，提提高高信信息息系系統(tǒng)統(tǒng)的的安安全全保保護護能能力力。。信息系統(tǒng)安安全風(fēng)險評評估的目的的是：認(rèn)清信息安安全環(huán)境、、信息安全全狀況；有有助于達成成共識，明明確責(zé)任；；采取或完完善安全保保障措施，，使其更加加經(jīng)濟有效效，并使信信息安全策策略保持一一致性和持持續(xù)性。信息安全風(fēng)風(fēng)險評估的的基本要素素使命：一個單位通通過信息化化實現(xiàn)的工工作任務(wù)。。依賴度：一個單位位的使命對對信息系統(tǒng)統(tǒng)和信息的的依靠程度度。資產(chǎn)：通過信息化化建設(shè)積累累起來的信信息系統(tǒng)、、信息、生生產(chǎn)或服務(wù)務(wù)能力、人人員能力和和贏得的信信譽等。價值：資產(chǎn)的重要要程度和敏敏感程度。。威脅：一個單位的的信息資產(chǎn)產(chǎn)的安全可可能受到的的侵害。威威脅由多種種屬性來刻刻畫：威脅脅的主體（（威脅源））、能力、、資源、動動機、途徑徑、可能性性和后果。。信息安全風(fēng)風(fēng)險評估的的基本要素素脆弱性：信息資產(chǎn)及及其防護措措施在安全全方面的不不足和弱點點。脆弱性性也常常被被稱為漏洞洞。風(fēng)險：由于系統(tǒng)存存在的脆弱弱性，人為為或自然的的威脅導(dǎo)致致安全事件件發(fā)生的可可能性及其其造成的影影響。它由由安全事件件發(fā)生的可可能性及其其造成的影影響這兩種種指標(biāo)來衡衡量。殘余風(fēng)險：：采取了安全全防護措施施，提高了了防護能力力后，仍然然可能存在在的風(fēng)險。。信息安全風(fēng)風(fēng)險評估的的基本要素素安全需求：：為保證單位位的使命能能夠正常行行使，在信信息安全防防護措施方方面提出的的要求。安全防護措措施：對付威脅，，減少脆弱弱性，保護護資產(chǎn)，限限制意外事事件的影響響，檢測、、響應(yīng)意外外事件，促促進災(zāi)難恢恢復(fù)和打擊擊信息犯罪罪而實施的的各種實踐踐、規(guī)程和和機制的總總稱。風(fēng)險評估對對信息系統(tǒng)統(tǒng)生命周期期的支持生命周期階段階段特征來自風(fēng)險管理活動的支持階段1——規(guī)劃和啟動提出信息系統(tǒng)的目的、需求、規(guī)模和安全要求。風(fēng)險評估活動可用于確定信息系統(tǒng)安全需求。階段2——設(shè)計開發(fā)或采購信息系統(tǒng)設(shè)計、購買、開發(fā)或建造。在本階段標(biāo)識的風(fēng)險可以用來為信息系統(tǒng)的安全分析提供支持，這可能會影響到系統(tǒng)在開發(fā)過程中要對體系結(jié)構(gòu)和設(shè)計方案進行權(quán)衡。階段3——集成實現(xiàn)信息系統(tǒng)的安全特性應(yīng)該被配置、激活、測試并得到驗證。風(fēng)險評估可支持對系統(tǒng)實現(xiàn)效果的評價，考察其是否能滿足要求，并考察系統(tǒng)所運行的環(huán)境是否是預(yù)期設(shè)計的。有關(guān)風(fēng)險的一系列決策必須在系統(tǒng)運行之前做出。階段4——運行和維護信息系統(tǒng)開始執(zhí)行其功能，一般情況下系統(tǒng)要不斷修改，添加硬件和軟件，或改變機構(gòu)的運行規(guī)則、策略或流程等。當(dāng)定期對系統(tǒng)進行重新評估時，或者信息系統(tǒng)在其運行性生產(chǎn)環(huán)境（例如新的系統(tǒng)接口）中做出重大變更時，要對其進行風(fēng)險評估活動。階段5——廢棄本階段涉及到對信息、硬件和軟件的廢棄。這些活動可能包括信息的移動、備份、丟棄、破壞以及對硬件和軟件進行的密級處理。當(dāng)要廢棄或替換系統(tǒng)組件時，要對其進行風(fēng)險評估，以確保硬件和軟件得到了適當(dāng)?shù)膹U棄處置，且殘留信息也恰當(dāng)?shù)剡M行了處理。并且要確保系統(tǒng)的更新?lián)Q代能以一個安全和系統(tǒng)化的方式完成。在實施風(fēng)險險評估中，，有時首先先根據(jù)不同同級別的威威脅對不同同價值的資資產(chǎn)可能形形成的風(fēng)險險進行分級級，進而選選擇適合級級別的保證證措施。這這是一種安安全需求提提煉的過程程。對于計劃和和已經(jīng)建設(shè)設(shè)的系統(tǒng)，，則應(yīng)該考考慮和分析析測試系統(tǒng)統(tǒng)可能存在在的脆弱性性。上述工作流流程應(yīng)該是是一個不斷斷重復(fù)的循循環(huán)過程，，從不同階階段進入風(fēng)風(fēng)險評估工工作也可能能進行簡化化其中的某某些步驟。。風(fēng)險評估理理論和工具具通俗的講，，信息系統(tǒng)統(tǒng)安全追求求的是入侵侵和破壞行行為，面對對信息系統(tǒng)統(tǒng)和信息，，進不來，，看不懂，，拿不走，，搞不亂。。風(fēng)險評估的的理論和工工具也應(yīng)該該針對這些些基本的安安全要求，，提供檢測測、判斷、、分析。當(dāng)前，國際際上提出了了一些廣義義傳統(tǒng)的風(fēng)風(fēng)險評估的的理論（并并非特別針針對信息系系統(tǒng)安全））。從計算方法法區(qū)分，有有定性的方方法、定量量的方法和和部分定量量的方法。。從實施手段段區(qū)分，有有基于樹的的技術(shù)、動動態(tài)系統(tǒng)的的技術(shù)等。。定性的方法法包括：初步的風(fēng)險險分析（PreliminaryRiskAnalysis）危險和可操操作性研究究（HazardandOperabilitystudies(HAZOP)）失效模式及及影響分析析（FailureModeandEffectsAnalysis(FMEA/FMECA)）基于樹的技技術(shù)（TreeBasedTechniques）包包括：故障樹分析析（Faulttreeanalysis））事件樹分析析（Eventtreeanalysis））因果分析（Cause-ConsequenceAnalysis）管理失敗風(fēng)風(fēng)險樹（ManagementOversightRiskTree））安全管理組組織檢查技技術(shù)（SafetyManagementOrganizationReviewTechnique））動態(tài)系統(tǒng)的的技術(shù)（TechniquesforDynamicsystem）包括：嘗試方法（GoMethod）有向圖/故故障圖（Digraph/FaultGraph））馬爾可夫建建模（MarkovModeling））動態(tài)事件邏邏輯分析方方法學(xué)（DynamicEventLogicAnalyticalMethodology）動態(tài)事件樹樹分析方法法（DynamicEventTreeAnalysisMethod）評估工具目目前存在以以下幾類：：掃描工具：：包括主機掃掃描、網(wǎng)絡(luò)絡(luò)掃描、數(shù)數(shù)據(jù)庫掃描描，用于分分析系統(tǒng)的的常見漏洞洞；入侵檢測系系統(tǒng)（IDS）：用于收集與與統(tǒng)計威脅脅數(shù)據(jù)；滲透性測試試工具：黑客工具，，用于人工工滲透，評評估系統(tǒng)的的深層次漏漏洞；主機安全性性審計工具具：用于分析主主機系統(tǒng)配配置的安全全性；安全管理評評價系統(tǒng)：：用于安全訪訪談，評價價安全管理理措施；風(fēng)險綜合分分析系統(tǒng)：：在基礎(chǔ)數(shù)據(jù)據(jù)基礎(chǔ)上，，定量、綜綜合分析系系統(tǒng)的風(fēng)險險，并且提提供分類統(tǒng)統(tǒng)計、查詢詢、TOPN查詢詢以及報表表輸出功能能；評估支撐環(huán)環(huán)境工具:評估指標(biāo)庫庫、知識庫庫、漏洞庫庫、算法庫庫、模型庫庫。綜觀這些理理論和工具具的現(xiàn)狀，，存在的問問題是：尚缺乏模型型化和形式式化描述及及證明的科科學(xué)深度；；需要解決一一般化的廣廣義的理論論如何用于于信息系統(tǒng)統(tǒng)的安全風(fēng)風(fēng)險評估；；定性，定量量的理論方方法如何更更加有效；；工具運用的的結(jié)果如何何能夠反映映實質(zhì)，有有效測度，，準(zhǔn)確無誤誤；工具的使用用如何能夠夠綜合協(xié)調(diào)調(diào)。二、為什么么要做信息息安全風(fēng)險險評估為什么要做做信息安全全風(fēng)險評估估第一，風(fēng)險險評估是分分析確定風(fēng)風(fēng)險的過程程。風(fēng)險是是客觀存在在的，在日日常生活和和工作中隨隨處可見。。為了了解解系統(tǒng)究竟竟面臨什么么風(fēng)險、有有多大風(fēng)險險，以及應(yīng)應(yīng)該采取什什么樣的措措施去減少少、化解或或規(guī)避風(fēng)險險，人們經(jīng)經(jīng)常會提出出這樣一些些問題：什什么地方、、什么時間間可能出問問題？會出出什么性質(zhì)質(zhì)的問題？？出問題的的可能性有有多大？這這些問題可可能產(chǎn)生的的后果是什什么？應(yīng)該該采取什么么樣的措施施加以避免免和彌補？？并總是試試圖找出最最合理的答答案。這個個過程實際際就是風(fēng)險險評估為什么要做做信息安全全風(fēng)險評估估第二，信息息安全風(fēng)險險評估是信信息安全建建設(shè)的起點點和基礎(chǔ)，，對于信息息系統(tǒng)也是是如此。所所有信息安安全建設(shè)和和管理都應(yīng)應(yīng)該基于信信息安全風(fēng)風(fēng)險評估，，只有這樣樣，信息安安全建設(shè)才才能做到從從實際出發(fā)發(fā)，才能堅堅持需求主主導(dǎo)、突出出重點，才才能以最小小的代價去去最大程度度地保障信信息安全。。為什么要要做信息息安全風(fēng)風(fēng)險評估估第三，信信息安全全風(fēng)險評評估是信信息安全全建設(shè)和和管理的的科學(xué)方方法。風(fēng)風(fēng)險評估估提供了了這么一一種方法法，它是是我們傳傳統(tǒng)經(jīng)驗驗方法的的總結(jié)和和提升，，是風(fēng)險險理論和和技術(shù)的的具體應(yīng)應(yīng)用。信息安全全的一個個最大特特點就是是看不見見摸不著著。在不不知不覺覺中就已已經(jīng)中了了招，在在不知不不覺中就就已經(jīng)遭遭受了重重大損失失。信息安全全要講加加強領(lǐng)導(dǎo)導(dǎo)，要講講責(zé)任制制，但如如果沒有有科學(xué)的的方法和和手段，，即使領(lǐng)領(lǐng)導(dǎo)現(xiàn)場場坐鎮(zhèn)，，即使人人盯死守守，也仍仍然可能能發(fā)現(xiàn)不不了問題題，也仍仍然可能能出問題題。這就就是27號文件件強調(diào)管管理與技技術(shù)并重重的根本本原因。。為什么要要做信息息安全風(fēng)風(fēng)險評估估第四，風(fēng)風(fēng)險評估估實際上上是在倡倡導(dǎo)一種種適度安安全。從從理論上上講，不不存在絕絕對的安安全，風(fēng)風(fēng)險總是是客觀存存在的。。風(fēng)險評評估并不不追求零零風(fēng)險、、不計成成本的絕絕對安全全，或者者試圖完完全消滅滅風(fēng)險或或避免風(fēng)風(fēng)險。信息安全全風(fēng)險評評估要求求在認(rèn)清清風(fēng)險的的基礎(chǔ)上上，決定定哪些風(fēng)風(fēng)險是必必須要避避免的，，哪些風(fēng)風(fēng)險是可可以容忍忍的。也也就是說說，信息息安全風(fēng)風(fēng)險評估估要求我我們算賬賬，要求求我們在在風(fēng)險與與建設(shè)和和管理成成本之間間尋求一一個最佳佳平衡點點。這體現(xiàn)了了信息安安全的一一個基本本原則，，就是堅堅持從實實際出發(fā)發(fā)，堅持持有針對對性地進進行信息息安全建建設(shè)和管管理。這這也就是是適度安安全。為什么要要做信息息安全風(fēng)風(fēng)險評估估第五，重重視風(fēng)險險評估是是信息化化發(fā)達國國家的重重要經(jīng)驗驗。早在在上個世世紀(jì)70年代初初期美國國政府就就提出了了風(fēng)險評評估的要要求，2002年頒布布的《2002聯(lián)邦信信息安全全管理法法》對信信息安全全風(fēng)險評評估提出出了更加加具體的的要求。。歐洲等等其他信信息化發(fā)發(fā)達國家家也非常常重視開開展信息息安全風(fēng)風(fēng)險評估估工作，，將開展展信息安安全風(fēng)險險評估工工作作為為提高信信息安全全保障水水平的重重要手段段。發(fā)達達國家的的這些經(jīng)經(jīng)驗值得得我們學(xué)學(xué)習(xí)和借借鑒。為什么要要做信息息安全風(fēng)風(fēng)險評估估2005年2月月，美國國總統(tǒng)信信息技術(shù)術(shù)顧問委委員會（（PITAC））向美國國總統(tǒng)提提交了一一份研究究報告《《網(wǎng)絡(luò)空空間安全全：迫在在眉睫的的危機》》，提出出美國目目前網(wǎng)絡(luò)絡(luò)空間安安全所面面臨的重重大問題題包括：：1、IT基礎(chǔ)設(shè)設(shè)施在恐恐怖和敵敵對攻擊擊面前非非常脆弱弱2、網(wǎng)絡(luò)絡(luò)漏洞和和網(wǎng)絡(luò)攻攻擊增長長速度非非?？欤ǎ?0％％－40％）3、無所所不在的的互聯(lián)意意味著處處處可能能存在安安全漏洞洞4、軟件件是主要要漏洞的的所在5、無窮窮無盡的的打補丁丁并不是是好的解解決辦法法6、需要要新的基基礎(chǔ)性安安全模型型和方法法7、聯(lián)邦邦政府在在研發(fā)工工作中的的核心地地位8、網(wǎng)絡(luò)絡(luò)空間安安全的非非技術(shù)因因素為了應(yīng)對對這些威威脅，在在《網(wǎng)絡(luò)絡(luò)空間安安全：迫迫在眉睫睫的危機機》報告告中，PITAC提出出了10大優(yōu)先先研究項項目，其其中信息息安全風(fēng)風(fēng)險評估估位列其其中。其其主要研研究內(nèi)容容包括：：（1）開開發(fā)網(wǎng)絡(luò)絡(luò)空間安安全測試試方法、、評估標(biāo)標(biāo)準(zhǔn)（2）風(fēng)風(fēng)險分析析方法和和基于不不同領(lǐng)域域的評估估方法（（政治、、軍事、、經(jīng)濟等等）（3）安安全風(fēng)險險以及一一致性檢檢查的自自動評估估工具的的研發(fā)（4）對對易受到到攻擊對對象的評評估研究究工作，，如源代代碼掃描描工具（5）通通過研究究過程管管理、配配置管理理和補丁丁管理的的最佳策策略方案案，來發(fā)發(fā)現(xiàn)并提提供有效效的安全全管理實實施方案案為什么要要做信息息安全風(fēng)風(fēng)險評估估三、我國國信息安安全風(fēng)險險評估回回顧調(diào)查與研研究標(biāo)準(zhǔn)編制制與試點點政策文件件起草我國信息息安全風(fēng)風(fēng)險評估估回顧2003年7月月《國家家信息化化領(lǐng)導(dǎo)小小組關(guān)于于加強信信息安全全保障工工作的意意見》（（中辦發(fā)發(fā)［2003］］27號號）中專專門提出出開展風(fēng)風(fēng)險評估估的要求求：對網(wǎng)絡(luò)與與信息系系統(tǒng)安全全的潛在在威脅、、薄弱環(huán)環(huán)節(jié)、防防護措施施等進行行分析評評估，綜綜合考慮慮網(wǎng)絡(luò)與與信息系系統(tǒng)的重重要性、、涉密程程度和面面臨的風(fēng)風(fēng)險等因因素，進進行相應(yīng)應(yīng)等級的的安全建建設(shè)和管管理調(diào)查研究究工作國信辦安安全組為為落實中中辦發(fā)2003[27]號文文件的要要求，于于2003年7月決定定委托國國家信息息中心組組建“信信息安全全風(fēng)險評評估課題題組”，，對我國國信息安安全風(fēng)險險評估工工作的現(xiàn)現(xiàn)狀進行行調(diào)查，，提出我我國開展展風(fēng)險評評估的對對策和辦辦法成員單位位：國家家信息中中心、公公安部、、安全部部、信息息產(chǎn)業(yè)部部、國家家認(rèn)監(jiān)委委、國家家標(biāo)準(zhǔn)化化委、國國家密碼碼管理局局、國家家保密局局、國家家計算機機網(wǎng)絡(luò)與與信息安安全中心心、中國國信息安安全產(chǎn)品品測評認(rèn)認(rèn)證中心心、北京京市信息息辦、解解放軍測測評認(rèn)證證中心調(diào)查研究究工作課題組先先后對四四個地區(qū)區(qū)(北京京、廣州州、深圳圳和上海海)，十十幾個行行業(yè)的50多家家單位進進行了調(diào)調(diào)查完成了《《信息安安全風(fēng)險險評估調(diào)調(diào)查報告告》、《《信息安安全風(fēng)險險評估研研究報告告》和《《關(guān)于加加強信息息安全風(fēng)風(fēng)險評估估工作的的建議》》稿調(diào)查報告告反映的的主要情情況及問問題被調(diào)查單單位信息息化程度度各有不不同對風(fēng)險評評估的重重視程度度與信息息化程度度成正比比關(guān)系國內(nèi)現(xiàn)階階段風(fēng)險險評估狀狀況風(fēng)險評估估已逐漸漸成為信信息安全全的一個個新的點點發(fā)現(xiàn)的八八個問題題，其中中評估流流程不規(guī)規(guī)范是一一大問題題研究報告告的主要要內(nèi)容信息系統(tǒng)統(tǒng)安全風(fēng)風(fēng)險評估估的概念念風(fēng)險評估估的意義義和作用用信息安全全風(fēng)險評評估的目目標(biāo)和目目的信息安全全風(fēng)險評評估的基基本要素素風(fēng)險評估估對信息息系統(tǒng)生生命周期期的支持持風(fēng)險評估估的一般般工作流流程當(dāng)前存在在的風(fēng)險險評估理理論和工工具我國信息息系統(tǒng)安安全風(fēng)險險評估的的現(xiàn)狀和和問題信息安全全風(fēng)險評評估工作作的原則則等級保護護、認(rèn)證證認(rèn)可、、風(fēng)險管管理、風(fēng)風(fēng)險評估估的關(guān)系系自評估、、強制性性檢查評評估與委委托評估估信息系統(tǒng)統(tǒng)安全風(fēng)風(fēng)險評估估的角色色和責(zé)任任信息安全全風(fēng)險評評估的任任務(wù)和措措施對風(fēng)險評評估工作作的建議議內(nèi)容積極貫徹徹落實27號文文件建立健全全和完善善信息系系統(tǒng)安全全風(fēng)險評評估的工工作機制制統(tǒng)籌建設(shè)設(shè)信息安安全風(fēng)險險評估的的基礎(chǔ)設(shè)設(shè)施和基基礎(chǔ)環(huán)境境啟動評估估工作流流程、工工作規(guī)范范標(biāo)準(zhǔn)的的研究與與制定推進基礎(chǔ)礎(chǔ)信息網(wǎng)網(wǎng)絡(luò)和重重要信息息系統(tǒng)的的信息安安全風(fēng)險險評估試試點示范范工作加強宣傳傳教育，，提高風(fēng)風(fēng)險意識識標(biāo)準(zhǔn)制定定工作根據(jù)《信信息安全全風(fēng)險評評估研究究報告》》的建議議,2004年三月月下旬課課題組專專家經(jīng)過過充分的的討論與與分析，，報國務(wù)務(wù)院信息息辦安全全組批準(zhǔn)準(zhǔn),開展展了《信信息安全全風(fēng)險評評估指南南》和《《信息安安全風(fēng)險險管理指指南》二二個規(guī)范范草案的的制定。。國家信息息中心信信息安全全研究與與服務(wù)中中心組織織了近二二十家有有實際工工作經(jīng)驗驗的企事事業(yè)單位位約四十十多人，，開了二二十多次次工作會會議，進進行了信信息安全全風(fēng)險評評估標(biāo)準(zhǔn)準(zhǔn)規(guī)范草草案的制制定工作作；到九九月下旬旬,完完成《信信息安全全風(fēng)險評評估指南南》和《《信息安安全風(fēng)險險管理指指南》二二個規(guī)范范草案的的初稿。。標(biāo)準(zhǔn)制定定工作2004年全國國信息安安全標(biāo)準(zhǔn)準(zhǔn)化技術(shù)術(shù)委員會會將《信信息安全全風(fēng)險評評估指南南》列入入2005年度度國家信信息安全全標(biāo)準(zhǔn)制制定工作作計劃中中,將將《信息息安全風(fēng)風(fēng)險管理理指南》》列入國國家信息息安全標(biāo)標(biāo)準(zhǔn)研究究工作規(guī)規(guī)劃中。。

目前前《信息息安全風(fēng)風(fēng)險評估估指南》》已完成成評審,報國國家標(biāo)準(zhǔn)準(zhǔn)管理委委員會頒頒布國信辦已已以國信信【2006】】9號文文的形式式發(fā)各部部委和省省市《信息安安全風(fēng)險險評估指指南》主主要內(nèi)容容規(guī)定了信信息安全全風(fēng)險評評估的工工作流程程、評估估內(nèi)容、、評估方方法和風(fēng)風(fēng)險判斷斷準(zhǔn)則。。介紹了風(fēng)風(fēng)險評估估的定義義、風(fēng)險險評估的的模型以以及風(fēng)險險評估的的實施過過程詳細描述述了對資資產(chǎn)、威威脅和脆脆弱性的的識別方方法描述了風(fēng)風(fēng)險評估估在信息息系統(tǒng)生生命周期期中的作作用描述了風(fēng)風(fēng)險評估估的不同同形式在附件中中介紹了了信息安安全風(fēng)險險評估的的方法、、工具和和實施案案例《信息安安全風(fēng)險險評估指指南》主主要作用用指導(dǎo)識別別信息系系統(tǒng)中存存在的風(fēng)風(fēng)險，為為確立信信息系統(tǒng)統(tǒng)安全等等級提供供參考指導(dǎo)信息息系統(tǒng)的的安全管管理為執(zhí)法部部門監(jiān)督督提供參參考為項目審審查部門門在審批批和驗收收信息系系統(tǒng)時提提供參考考為信息系系統(tǒng)業(yè)務(wù)務(wù)發(fā)生變變更時提提供安全全參考《信息安安全風(fēng)險險管理指指南》主主要內(nèi)容容明確了風(fēng)風(fēng)險管理理的目的的和意義義：在安安全措施施的成本本與資產(chǎn)產(chǎn)價值之之間尋求求平衡，，保護信信息系統(tǒng)統(tǒng)定義了信信息安全全風(fēng)險管管理的內(nèi)內(nèi)容和過過程風(fēng)險評估估風(fēng)險減緩緩：根據(jù)據(jù)評估結(jié)結(jié)果，選選擇合適適的方法法控制風(fēng)風(fēng)險風(fēng)險決策策：判斷斷殘余風(fēng)風(fēng)險是否否處在可可接受的的范圍內(nèi)內(nèi)全國風(fēng)險險評估試試點工作作2005年，國國信辦安安全組組組織北京京市、上上海市、、黑龍江江省、云云南省、、人民銀銀行、國國家稅務(wù)務(wù)總局、、國家電電力總公公司和國國家信息息中心八八個部門門的近20家單單位開展展風(fēng)險評評估試點點工作國家信息息中心負負責(zé)試點點工作的的實施方方案設(shè)計計，標(biāo)準(zhǔn)準(zhǔn)培訓(xùn)，，到各試試點單位位調(diào)研，，匯總各各地試點點報告，，參與政政策文件件草工作作試點工作作的目的的在現(xiàn)有基基礎(chǔ)信息息網(wǎng)絡(luò)和和重要信信息系統(tǒng)統(tǒng)的管理理體制下下，探索索如何推推進開展展信息安安全風(fēng)險險評估工工作檢驗國家家標(biāo)準(zhǔn)草草案《信信息安全全風(fēng)險評評估指南南》和《《信息安安全風(fēng)險險管理指指南》的的可行性性與可用用性為全面推推廣信息息安全風(fēng)風(fēng)險評估估工作和和出臺相相關(guān)政策策文件做做前期準(zhǔn)準(zhǔn)備試點工作作總結(jié)2005年9月月，在上上海召開開總結(jié)大大會。國國務(wù)院信信息辦曲曲維枝副副主任到到會聽取取了各試試點單位位的工作作匯報,對試點點工作的的成果給給予了高高度評價價政策文件件起草在調(diào)研和和試點的的基礎(chǔ)上上，國信信辦會同同公安部部、安全全部、國國家保密密局、密密碼管理理局、總總參三部部等部門門及有關(guān)關(guān)專家起起草了《《關(guān)于開開展信息息安全風(fēng)風(fēng)險評估估工作的的意見》》征求意意見稿，，反復(fù)征征求了國國家網(wǎng)絡(luò)絡(luò)與信息息安全協(xié)協(xié)調(diào)小組組成員單單位、重重要信息息系統(tǒng)主主管部門門、國家家信息化化專家咨咨詢委員員會以及及各試點點單位意意見，數(shù)數(shù)易其稿稿。政策文件件起草2005年12月16日國家家網(wǎng)絡(luò)與與信息安安全協(xié)調(diào)調(diào)小組開開會討論論通過了了《關(guān)于于開展信信息安全全風(fēng)險評評估工作作的意見見》，2006年元月月6日國國務(wù)院信信息化工工作辦公公室將《《關(guān)于開開展信息息安全風(fēng)風(fēng)險評估估工作的的意見》》印發(fā)中中央各部部委和全全國省市市。政策文件件起草《關(guān)于開開展信息息安全風(fēng)風(fēng)險評估估工作的的意見》》的印發(fā)發(fā)，標(biāo)志志著我國國信息安安全領(lǐng)域域一項基基礎(chǔ)性、、全局性性的新工工作正式式啟動。四、信息息安全風(fēng)風(fēng)險評估估今后三三年的發(fā)發(fā)展目標(biāo)：用三年左左右的時時間在我我國基礎(chǔ)礎(chǔ)信息網(wǎng)網(wǎng)絡(luò)和重重要信息息系統(tǒng)普普遍推行行信息安安全風(fēng)險險評估工工作，全全面提高高我國信信息安全全的科學(xué)學(xué)管理水水平，提提升網(wǎng)絡(luò)絡(luò)和信息息系統(tǒng)安安全保障障能力，，為保障障和促進進我國信信息化發(fā)發(fā)展服務(wù)務(wù)。高度重視視組織管管理工作作各信息化化和信息息安全主主管部門門要充分分認(rèn)識風(fēng)風(fēng)險評估估工作對對于提高高信息安安全管理理水平的的重要意意義，切切實加強強對風(fēng)險險評估工工作的管管理，抓抓緊制定定貫徹落落實的辦辦法，積積極穩(wěn)妥妥地推進進。要從從抓試點點開始，，逐步探探索組織織實施和和管理的的經(jīng)驗，，高度重視視組織管管理工作作信息系統(tǒng)統(tǒng)擁有、、運營或或使用單單位和有有關(guān)管理理部門要要按照““誰主管管、誰負負責(zé)，誰誰運營、、誰負責(zé)責(zé)”的原原則，在在信息安安全風(fēng)險險評估工工作中切切實負起起組織領(lǐng)領(lǐng)導(dǎo)的責(zé)責(zé)任；將開展風(fēng)風(fēng)險評估估工作制制度化，，定期組組織實施施信息系系統(tǒng)自評評估，積積極配合合有關(guān)部部門的檢檢查評估估，并將將開展風(fēng)風(fēng)險評估估的費用用列入系系統(tǒng)運行行維護費費用；有關(guān)部門門要將開開展信息息安全風(fēng)風(fēng)險評估估作為基基礎(chǔ)信息息網(wǎng)絡(luò)和和重要信信息系統(tǒng)統(tǒng)規(guī)劃、、建設(shè)和和等級保保護監(jiān)管管工作的的重要內(nèi)內(nèi)容。風(fēng)險評估估工作應(yīng)應(yīng)當(dāng)貫穿穿信息系系統(tǒng)全生生命周期期信息安全全風(fēng)險評評估也是是落實等等級保護護制度的的重要手手段，應(yīng)應(yīng)通過信信息安全全風(fēng)險評評估為信信息系統(tǒng)統(tǒng)確定安安全等級級提供依依據(jù)，根根據(jù)風(fēng)險險評估的的結(jié)果檢檢驗網(wǎng)絡(luò)絡(luò)與信息息系統(tǒng)的的防護水水平是否否符合等等級保護護的要求求。三個評估估環(huán)節(jié)信息系統(tǒng)統(tǒng)規(guī)劃設(shè)設(shè)計階段段：通過評估估明確安安全需求求、安全全目標(biāo)和和安全保保障措施施，為項項目審批批提供依依據(jù)信息系統(tǒng)統(tǒng)驗收階階段：通過評估估驗證已已設(shè)計安安裝的安安全措施施能否實實現(xiàn)安全全目標(biāo)，，為項目目驗收提提供依據(jù)據(jù)信息系統(tǒng)統(tǒng)運維階階段：通過定期期進行的的評估，，檢驗安安全措施施的有效效性及對對安全環(huán)環(huán)境變化化的適應(yīng)應(yīng)性在信息系系統(tǒng)使命命或安全全形勢發(fā)發(fā)生重大大發(fā)生變變化時，，要專門門進行評評估二種評估估形式自評估是信息安安全風(fēng)險險評估的的主要形形式，是是指信息息系統(tǒng)擁擁有、運運營或使使用單位位發(fā)起的的對本單單位信息息系統(tǒng)進進行的風(fēng)風(fēng)險評估估。依托自身身技術(shù)力力量委托具有有相應(yīng)資資質(zhì)的第第三方機機構(gòu)提供供技術(shù)支支持檢查評估估指信息系系統(tǒng)上級級管理部部門或信信息安全全職能部部門組織織的信息息安全風(fēng)風(fēng)險評估估。規(guī)避由于于風(fēng)險評評估工作作而引入入新的安安全風(fēng)險險1，參與信息息安全風(fēng)風(fēng)險評估估工作的的單位及及其有關(guān)關(guān)人員必必須遵守守國家有有關(guān)信息息安全的的法律法法規(guī)，