風險管理與信息安全風險評估課件

風險管理與信息安全風險評估國家信息中心2005.12

風險管理與信息安全風險評估國家信息中心

1

提綱一：信息化風險及風險管理研究

二：信息安全風險評估貴在實踐三、試點經驗寶貴提綱一：信息化風險及風險管理研究2一：信息化風險及風險管理研究隨著信息化的發(fā)展，信息化的風險與風險管理問題已經成為各個國家、國際組織所普遍關注的問題。信息化的風險管理，其中信息安全風險和保障網絡空間的安全已經成為關系信息化能否健康發(fā)展的重大問題。

一：信息化風險及風險管理研究隨著信息化的發(fā)展，信息化的風險與3一、信息化風險的定義風險指行動或者事件的結果的不確定性（uncertaintyofoutcome）。信息化的風險被界定為信息化可能或者實際帶來的消極威脅。風險管理泛指評估風險、確認風險、回應風險的過程。一、信息化風險的定義風險指行動或者事件的結果的不確定性（un4二、信息化風險的主要特征

全球性傳染性復雜性隱蔽性二、信息化風險的主要特征全球性5三、信息化風險的內在原因

基本原因在于內因，由信息化自身的特點所決定第一，信息化的無疆界特征；第二，信息化的低成本特征；第三，信息化的開放性特征；第四，信息化的匿名性特征。

三、信息化風險的內在原因基本原因在于內因，由信息化自身的特6第一，自然災害第二，誤操作和安全生產事故；第三，病毒、蠕蟲以及網絡攻擊；第四，由于信任體系不完善，借助信息化手段進行欺詐；第五，因內部因素而造成的信息、數(shù)據的修改和丟失和內部泄密；；第六，因外部因素造成信息、數(shù)據的泄露、篡改和丟失；第七，安全防范措施不到位的高端技術。四、外部原因第一，自然災害四、外部原因7五、我國信息安全風險的生成機理

第一，戰(zhàn)略能力不足，規(guī)劃不明確。（1）缺乏項目的建設戰(zhàn)略（2）缺乏項目的中長期發(fā)展規(guī)劃（3）缺乏明確項目的發(fā)展步驟（4）缺乏項目的階段性績效標準五、我國信息安全風險的生成機理第一，戰(zhàn)略能力不足，規(guī)劃不明8第二，領導與組織能力不到位，統(tǒng)籌協(xié)調不力。（1）領導對于風險管理的重視不足，忽視電子化政府項目的高風險等具體問題；（2）行政改革與創(chuàng)新的方向性錯誤；（3）組織信息化目標的錯誤設定，片面追求上網，忽視服務質量；（4）跨部門之信息化進程的協(xié)調問題；（5）重復建設問題；（6）信息化項目未能及時完成，預算超支問題；（7）信息孤島問題；（8）項目難以有效評估或評測的問題。

第二，領導與組織能力不到位，統(tǒng)籌協(xié)調不力。9第三，投資管理的能力差，項目管理體系不成熟。（1）對項目投資管理的理念認識和關注不足；（2）項目的投資基礎（投資負責機構、提出候選項目并予以篩選、對投資項目的選定與實施過程的監(jiān)督、捕獲投資信息等）建設不完善；

（3）在項目的投資過程（包括相關篩選、控制和評估標準的確立，對實施后的復查等）機制不健全；

（4）在投資的過程管理中，存在薄弱環(huán)節(jié)，無法做到全流程的“無縫隙管理”；

（5）在優(yōu)化投資過程方面，往往無法實現(xiàn)項目投資的戰(zhàn)略性成果。

第三，投資管理的能力差，項目管理體系不成熟。10第四，資金的預算和管理能力差。（1）對信息安全投資的風險未做預測，或預測不準；（2）資金支持不足；（3）無法尋求足夠的社會資金來源；（4）信息安全投資的回報難以監(jiān)控和評估。

第四，資金的預算和管理能力差。11第五，人力資源不足。（1）缺乏信息安全風險管理的人員和能力；（2）缺乏具備充足信息安全管理資格的人員；（3）培訓跟不上項目的進程，培訓效果差；

（4）項目核心人員的流動問題。

第五，人力資源不足。12第六，法律與政策不足。我國目前的信息安全的法制工作發(fā)展較為緩慢；首先，缺乏對信息化的全面立法支持，缺乏保障政府信息化的基本法律，如政府信息公開法、政府信息資源管理法。其次，缺乏對信息安全風險的制度性規(guī)范，如信息風險手冊等。再次，原有的一些法律已不能適應信息化時代的要求，如著作權法、專利法、刑法等。

第六，法律與政策不足。13第七，保護隱私，數(shù)據安全，技術管理方面的不足。

在泄露隱私方面：（1）不當授權他人或機構濫用用戶信息；（2）未遵循法律或法規(guī)制定相應的隱私和記錄管理政策。

在影響數(shù)據安全方面：（1）工作人員對安全因素和措施缺乏足夠認知；

（2）難以解決相關安全問題；

（3）病毒或黑客攻擊導致系統(tǒng)癱瘓；

（4）由于一個主要系統(tǒng)癱瘓導致其它系統(tǒng)的失靈。

第七，保護隱私，數(shù)據安全，技術管理方面的不足。14六、信息安全風險的應對戰(zhàn)略和政策（一）明確政府的角色，強化信息安全風險管理的責任（二）建立和發(fā)展信息安全風險管理的文化（三）做好國家信息安全的薄弱環(huán)節(jié)識別，減少信息化系統(tǒng)中的問題（四）通過有效的教育和培訓提高和強化整個社會的信息安全風險管理和安全意識與能力（五）強化信息化相關的立法，建立有效的管制機制，以防止和化解信息安全風險六、信息安全風險的應對戰(zhàn)略和政策（一）明確政府的角色，強化信15（六）建立健全國家信息化的技術安全平臺，通過安全技術的發(fā)展保障信息化系統(tǒng)的安全（七）采取有效的措施，確保敏感性信息和國家重要信息基礎設施的安全（八）保障政府系統(tǒng)的安全（九）建立國家網絡空間安全的危機管理系統(tǒng)（十）通過信息的共享和廣泛的合作，化解信息安全風險（六）建立健全國家信息化的技術安全平臺，通過安全技術的發(fā)展保16

提綱一：信息化風險及風險管理研究二：信息安全風險評估

貴在實踐三、試點經驗寶貴提綱一：信息化風險及風險管理研究17黨中央、國務院高度重視網絡與信息安全工作中辦發(fā)[2003]27號文件提出了加強信息安全保障工作的總體要求和主要原則，并在工作部署中，將信息安全風險評估作為一項重要的舉措;2004年1月9日，黃菊同志在關于“全面加強信息安全保障工作，促進信息化健康發(fā)展”的講話中，提出了“抓緊研究制定基礎信息網絡和重要信息系統(tǒng)風險評估的管理規(guī)范，并組織力量提供技術支持。根據風險評估結果，進行相應等級的安全建設和管理，特別是對涉及國家機密的信息系統(tǒng)，要按照黨和國家有關保密規(guī)定進行保護。對涉及國計民生的重要信息系統(tǒng)，要進行必要的信息安全檢查?！钡拿鞔_要求黨中央、國務院高度重視網絡與信息安全工作中辦發(fā)[2003]218深刻認識開展信息安全風險評估工作的重要意義如何確切掌握網絡和信息系統(tǒng)的安全程度、分析安全威脅來自何方、安全風險有多大，加強信息安全保障工作應采取哪些措施，要投入多少人力、財力和物力；確定已采取的信息安全措施是否有效以及提出按照相應信息安全等級進行安全建設和管理的依據等一系列具體問題。風險評估是解決上述問題的重要方法和基礎性工作。系統(tǒng)的安全性可通過風險大小來度量,科學地分析系統(tǒng)在保密性、完整性、可用性等方面所面臨的威脅，發(fā)現(xiàn)系統(tǒng)安全的主要問題和矛盾，就能夠在安全風險的預防、減少、轉移、補償和分散等之間做出決策，最大限度地控制和化解安全威脅。網絡信息系統(tǒng)的安全建設都要在風險評估基礎上,成為信息化建設的內在要求，系統(tǒng)主管部門和運營、應用單位必須做好本系統(tǒng)信息安全風險評估工作。深刻認識開展信息安全風險評估工作的重要意義如何確切掌握網絡和19我對風險評估工作指導思想和原則的理解我國風險評估工作應立足國情，以我為主，突出重點、整合資源，逐步建成有中國特色的風險評估體系，為全面提高國家的信息安全保障能力而服務。風險評估是信息系統(tǒng)安全管理的基礎工作和重要環(huán)節(jié)。我國基礎信息網絡和國家電子政務系統(tǒng)、主要新聞媒體和一批涉及能源、交通、通信、戰(zhàn)略物資等國家重要信息系統(tǒng)，風險評估必須遵守以下原則：國家指導、政府監(jiān)管，統(tǒng)一規(guī)范、分類指導，突出重點、兼顧一般，軍民結合、分工協(xié)作。目前我國風險評估實施重點是基礎網絡和重要信息系統(tǒng)。同時兼顧其它信息系統(tǒng)，加強指導，確保各類網絡和信息系統(tǒng)的風險評估工作能夠健康、有序進行。我對風險評估工作指導思想和原則的理解我國風險評估工作應立足國20對風險評估總體要求的理解風險評估工作總體要求是：充分發(fā)揮和調動各方面力量，運用風險管理的思想，通過風險評估，控制和降低風險，全面提高信息系統(tǒng)防護能力，滿足信息安全需求，逐步建成有中國特色的風險評估體系。評估我國基礎信息網絡和重要信息系統(tǒng)，掌握我國基礎信息網絡和重要信息系統(tǒng)的安全狀態(tài)，及時采取合適的應對措施，保障它們的正常運行。通過對國家級重點電子政務系統(tǒng)、電子商務系統(tǒng)以及重要信息基礎設施的風險評估工作，從中摸索經驗，不斷探索，逐步完善我國風險評估工作的管理機制。

對風險評估總體要求的理解風險評估工作總體要求是：21四、建立風險評估基本管理制度的建議1、風險評估制度。包括信息系統(tǒng)在設計階段要進行風險評估以確定系統(tǒng)的安全目標；在建設驗收階段要進行風險評估以確定系統(tǒng)的安全目標達到與否；在運行維護階段要針對安全形勢和問題定期或不定期地不斷進行風險評估以確定安全措施的有效性，確保安全保障目標始終如一得以實現(xiàn)。2、信息安全檢查制度與自評估制度。信息安全檢查由信息安全主管機關或信息系統(tǒng)上級主管機關發(fā)起，依據國家風險評估的管理規(guī)范和技術標準進行的檢查評估,通過行政手段加強信息安全的重要措施。包括安全保密檢查、生產安全檢查、專項檢查等。自評估是信息系統(tǒng)運營或應用單位依靠自身力量，依據國家風險評估的管理規(guī)范和技術標準，對系統(tǒng)進行風險評估的工作。3、系統(tǒng)安全準入制度。按照誰主管誰負責、誰運營誰負責的要求，信息系統(tǒng)上級主管機關依據自評估或信息安全檢查的結果，決定是否批準信息系統(tǒng)投入建設或運行。信息系統(tǒng)安全準入工作應納入基礎信息網絡和重要信息系統(tǒng)安全管理體系。四、建立風險評估基本管理制度的建議1、風險評估制度。包括信息22我國風險評估的幾項任務1、建立風險評估基本管理制度2、加強風險評估工作隊伍的建設加強風險評估工作隊伍的建設是做好風險評估工作的前提。建議在條件相對成熟的情況下，在已有基礎上，整合資源，形成一支承擔國家基礎信息網絡和重要信息系統(tǒng)的風險評估的骨干力量，負責國家基礎信息網絡和重要信息系統(tǒng)風險評估工作。3、提出信息安全等級保護和風險評估相關聯(lián)的指導原則針對不同的信息系統(tǒng)實施信息安全等級保護的重要原則，要針對不同信息安全等級的信息系統(tǒng)，提出進行風險評估工作所遵循的相應評估準則、工作模式和工作流程，作為各部門、各單位安全風險評估指南的補充，同時豐富和完善對不同類型、不同等級的信息系統(tǒng)實施信息安全等級保護的具體內容。我國風險評估的幾項任務1、建立風險評估基本管理制度23落實風險評估建設的相關措施1、加強法規(guī)建設和標準化工作按照我國信息化發(fā)展需求，逐步完善我國風險評估相關的法律法規(guī)體系，形成和完善滿足我國信息化建設需要的風險評估標準體系，規(guī)范我國風險評估執(zhí)法主體行為，實現(xiàn)管理法制化和規(guī)范化。2、保證風險評估工作必要的經費通過國家財政正式立項，對國家基礎網絡和重要信息系統(tǒng)風險評估工作、國家安全風險評估試點示范項目、相關法規(guī)和標準研究和相關基礎研究與人才培訓等項目給予資金支持，保證配套經費的落實。3、統(tǒng)籌建設國家風險評估的基礎設施和基礎環(huán)境統(tǒng)籌建設國家基礎信息網絡和重要信息系統(tǒng)風險評估的基礎設施和基礎環(huán)境，將風險評估國家重點實驗室的建設納入國家信息安全保障基礎設施的建設規(guī)劃，構建風險分析試驗環(huán)境，組織研制開發(fā)科學、實用的檢查、評估工具，開展風險評估技術、理論、標準的研究;建立國家風險評估數(shù)據庫，積累資料，全面提高國家風險評估水平。4、加強風險評估核心技術研究與攻關研究國家要加強風險評估核心技術研究與攻關，通過技術創(chuàng)新，增強風險評估核心技術的競爭力，適應時代發(fā)展的要求，力爭在近幾年內在核心環(huán)節(jié)有較大的突破。落實風險評估建設的相關措施1、加強法規(guī)建設和標準化工作24提綱一、信息化風險及風險管理研究二：信息安全風險評估貴在實踐三、試點經驗寶貴提綱一、信息化風險及風險管理研究25研究了試點工作目的試點工作的目的是:在現(xiàn)有管理體制下，摸索如何開展信息安全風險評估工作，檢驗草擬的風險評估相關標準規(guī)范的可行性與可用性，為全面推廣信息安全風險評估工作和國家出臺《關于信息安全風險評估工作意見》做前期準備。在試點工作中將探討以下問題：探索風險評估管理機制的建設，研究如何落實中辦發(fā)27號文件“誰主管誰負責誰運營誰負責”的原則，包括信息安全風險評估的領導體制、協(xié)調機制、審查與批準、監(jiān)管、督察和備案等內容；明確信息安全風險評估的角色、責任、方法、過程及結果摸索協(xié)同開展風險評估工作和信息安全等級保護工作、保密檢查工作的實踐經驗；檢驗和完善信息安全風險評估管理規(guī)范與技術標準；了解信息安全檢查評估和自評估模式的效果與不足；研究了試點工作目的試點工作的目的是:26明確專家組工作基本思路在2004年工作的基礎上，國信辦安全組決定今年正式啟動風險評估試點工作,明確了專家組的角色：立足咨詢服務，協(xié)助試點單位主要任務:參與討論和完善“信息安全風險評估工作意見”

協(xié)助風險評估試點單位做好試點工作做好信息安全風險評估培訓和咨詢工作加緊修訂和宣貫風險評估試行標準明確專家組工作基本思路在2004年工作的基礎上，國信辦安全組27確定選擇試點單位1、條件試點單位的信息化系統(tǒng)已具有一定的規(guī)模，試點單位應具備自己的技術一定的、專業(yè)隊伍和評估實踐經驗。2、范圍信息化程度較高的行業(yè)部門的信息系統(tǒng)，如金融、稅務、電力；建設發(fā)展中的電子政務重要信息系統(tǒng)；部分涉密信息系統(tǒng)；信息化程度不同的地方單位。專家組提出建議，協(xié)助國信辦確定試點入選單位。確定選擇試點單位1、條件28協(xié)助國信辦提出試點工作階段劃分的建議專家組建議試點工作劃分為以下幾個階段：1、準備階段成立試點工作組織機構，制定試點工作規(guī)范選定試點單位2、實施階段組織對試點單位進行評估方法和技術的培訓；試點單位進行評估，并向國信辦提交工作報告；組織交流和研討，小結試點單位評估經驗，提出整改建議3、總結階段協(xié)助國信辦提出試點工作階段劃分的建議專家組建議試點工作劃分為29積極參與了試點工作協(xié)助修訂《關于開展信息安全風險評估工作的意見》，提供相關的咨詢和技術支持。參與試點的相關咨詢工作1、準備階段：組織八個試點單位的相關人員進行培訓，明確風險評估流程和風險評估準備階段的任務，協(xié)助試點單位制定其風險評估實施方案。標準培訓試點方案編制的培訓2、實施階段：調研試點方案實施情況，了解試點單位對評估及管理的流程、方法、工具的使用存在的問題，充實和完善標準。選擇重點單位進行調研，并對關鍵階段進行蹲點，以切實了解單位試點工作過程中存在的問題，為兩個標準的完善提供實踐素材；進行試點中期總結，為指導意見提供階段性素材；根據試點單位需求，進行有針對性的培訓和咨詢，協(xié)助完成試點工作積極參與了試點工作協(xié)助修訂《關于開展信息安全風險評估工作的意30積極參與了試點工作（續(xù)）總結階段：協(xié)助國信辦匯總試點工作情況，總結修改意見，并完善標準。在各試點單位正式總結之前，召開專家組評審會；為國信辦試點工作總結提供基礎素材。 標準的完善 充實和完善《信息安全風險評估指南》和《信息安全風險管理指南》，通過試點工作提出兩個標準的修改意見。同時進行與標準相關的配套理論、方法和規(guī)范的研究。積極參與了試點工作（續(xù)）總結階段：協(xié)助國信辦匯總試點工作情況31試點工作與標準驗證試點工作對去年國信辦組織制定的兩項試行標準進行了驗證，提出了修訂建議絕大多數(shù)試點單位大都參照了去年國信辦和國家安標委組織編寫的《信息安全風險評估指南》及《信息安全風險管理指南》。試點單位大都結合自身的具體情況，選擇了相應的評估方法和適當?shù)陌踩刂拼胧┘肮芾砹鞒蹋瑢嵺`經驗證明各試點單位評估基于的基本原則和核心方法與試行標準指南大體吻合一致。試點工作與標準驗證試點工作對去年國信辦組織制定的兩項試行標準32收獲和體會提高了對風險評估工作的認識和理解—科學方法、長效機制為國信辦風險評估工作文件起草積累了素材檢驗了標準，兩項試行標準得到了肯定初步規(guī)范了評估內容，演練了評估的實施流程試行了部分評估技術方法，重視了評估的科學性評估方法的百花齊放和創(chuàng)新性體現(xiàn)了創(chuàng)新，積累了成果，培訓了人才收獲和體會提高了對風險評估工作的認識和理解33試點工作技術上特點計劃比較周密注意控制了評估自身的風險注意遵循和驗證標準討論稿及時總結經驗和問題始終重視人才培養(yǎng)在技術上通過評估方法的多樣化，進行了有益的探索試點工作技術上特點計劃比較周密34典型方法之一：綜合風險計算法規(guī)范評估過程摸清家底：劃分資產類型，建立重要資產清單，識別資產重要性分析威脅和分析脆弱性兩種途徑按層次分析脆弱性判定安全時間及其影響計算威脅風險值制定風險控制措施典型方法之一：綜合風險計算法規(guī)范評估過程35典型方法之四：面向關鍵信息資產的評估方法（續(xù)）威脅路徑分析法面向關鍵信息資產的層次分析法利用等級保護支撐平臺的評估方法

典型方法之四：面向關鍵信息資產的評估方法（續(xù)）威脅路徑分析36試點工作出現(xiàn)了一批成果上海市的風險評估管理軟件評估模型和方法的創(chuàng)新與探索北京市利用了已有的工具平臺，形成了評估輔助工具平臺黑龍江提出了基于模糊綜合判定理論的風險評估判定方法既有量化的探索，也有定性為主的探索云南提出了增加業(yè)務流分析和已有控制措施的有效性識別或判定試點工作出現(xiàn)了一批成果上海市的風險評估管理軟件37試點工作出現(xiàn)了一批成果（續(xù)）國家稅務總局提出了差距分析法，細化了流程國電公司提出了符合行業(yè)特點的方法，初步形成了行業(yè)安全評估方法論，涵蓋了安全定義、安全評測和風險分析的全過程試點工作出現(xiàn)了一批成果（續(xù)）國家稅務總局提出了差距分析法，細38試點工作發(fā)現(xiàn)的問題技術評測工具，缺乏統(tǒng)一的要求和資質認定模擬環(huán)境或聯(lián)機旁路測試環(huán)境的不完備和缺乏測試深度的不平衡管理標準規(guī)范試行標準指南總體得到肯定，但尚需進一步完善試點工作發(fā)現(xiàn)的問題技術39下一步建議認真總結經驗統(tǒng)一規(guī)劃、建立制度。制定國家基礎網絡和重要信息系統(tǒng)的風險評估總體規(guī)劃以及“十一五”期間的工作計劃。積極推進風險評估基本管理制度的建立；應盡快就國家基礎信息網絡和重要信息系統(tǒng)風險評估工作所涉及的領導體制、協(xié)調機制、認證與認可、監(jiān)管和督察、評估時間、評估對象、評估范圍、評估方式、評估人員資質、評估結果發(fā)布和備案等內容，進一步開展研究，形成風險評估工作管理法規(guī)制度加快建立、逐步完善標準規(guī)范體系。標準規(guī)范是推廣和實施風險評估工作的法律依據和技術保障，要加快風險評估管理與技術標準的制定和完善，研究評估機構服務標準、資質認可與資質的核查評估的管理辦法；盡快出臺國家標準。下一步建議認真總結經驗40建設獨立自主、符合國際慣例的風險評估技術支撐體系舉國家之力，支持建設獨立自主、符合國際慣例的風險評估技術支撐體系。建設國家基礎信息網絡和重要信息系統(tǒng)風險評估的基礎設施和基礎環(huán)境；落實開發(fā)相關技術和產品的攻關項目。通過研發(fā)自主關鍵技術和設備，滿足國家網絡基礎設施和重要信息系統(tǒng)的風險評估需求，支持安全評估應用逐步建立符合國際慣例、達到國際先進水平的安全評估技術支撐體系建設獨立自主、符合國際慣例的風險評估技術支撐體系舉國家之力，41安全測試評估工具、平臺與環(huán)境促進建立國家信息安全測試評估體系——形成示范應用產品和系統(tǒng)測試評估工具產品和系統(tǒng)測試評估支撐環(huán)境建立先進的測試評估標準體系和開發(fā)環(huán)境系統(tǒng)等級保護測試評估平臺安全測試評估技術與系統(tǒng)安全測試評估工具、平臺與環(huán)境促進建立國家信息安全測試評估體系42下一步建議（續(xù)）加強風險評估工作隊伍的建設，重視培訓、建立風險評估機構管理制度在已有基礎上，整合資源，分類指導，組建不同等級的風險評估機構，分別承擔國家和地方基礎信息網絡和重要信息系統(tǒng)以及本行業(yè)信息系統(tǒng)風險評估工作，形成風險評估的骨干力量。風險評估敏感性很強，如果引導不當，管理不到位，有可能因為風險評估帶來新的安全隱患。對國家基礎信息網絡和重要信息系統(tǒng)的風險評估，實行資質準入制度，只充許經國家批準的風險評估機構實施風險評估。國家必須加強風險評估評估工作的管理，建立服務標準、資質認可與資質核查評估制度。下一步建議（續(xù)）加強風險評估工作隊伍的建設，重視培訓、建立風43限于水平和精力，專家組工作，還有許多不到之處，歡迎批評指正!謝謝!在國信辦領導的指導下，專家組工作得到了各試點單位的大力支持，對此專家組向地試點單位表示衷心的感謝！限于水平和精力，專家組工作，還有許多不到之處，歡迎批評指正!44演講完畢，謝謝觀看！演講完畢，謝謝觀看！45風險管理與信息安全風險評估國家信息中心2005.12

風險管理與信息安全風險評估國家信息中心

46

提綱一：信息化風險及風險管理研究

二：信息安全風險評估貴在實踐三、試點經驗寶貴提綱一：信息化風險及風險管理研究47一：信息化風險及風險管理研究隨著信息化的發(fā)展，信息化的風險與風險管理問題已經成為各個國家、國際組織所普遍關注的問題。信息化的風險管理，其中信息安全風險和保障網絡空間的安全已經成為關系信息化能否健康發(fā)展的重大問題。

一：信息化風險及風險管理研究隨著信息化的發(fā)展，信息化的風險與48一、信息化風險的定義風險指行動或者事件的結果的不確定性（uncertaintyofoutcome）。信息化的風險被界定為信息化可能或者實際帶來的消極威脅。風險管理泛指評估風險、確認風險、回應風險的過程。一、信息化風險的定義風險指行動或者事件的結果的不確定性（un49二、信息化風險的主要特征

全球性傳染性復雜性隱蔽性二、信息化風險的主要特征全球性50三、信息化風險的內在原因

基本原因在于內因，由信息化自身的特點所決定第一，信息化的無疆界特征；第二，信息化的低成本特征；第三，信息化的開放性特征；第四，信息化的匿名性特征。

三、信息化風險的內在原因基本原因在于內因，由信息化自身的特51第一，自然災害第二，誤操作和安全生產事故；第三，病毒、蠕蟲以及網絡攻擊；第四，由于信任體系不完善，借助信息化手段進行欺詐；第五，因內部因素而造成的信息、數(shù)據的修改和丟失和內部泄密；；第六，因外部因素造成信息、數(shù)據的泄露、篡改和丟失；第七，安全防范措施不到位的高端技術。四、外部原因第一，自然災害四、外部原因52五、我國信息安全風險的生成機理

第一，戰(zhàn)略能力不足，規(guī)劃不明確。（1）缺乏項目的建設戰(zhàn)略（2）缺乏項目的中長期發(fā)展規(guī)劃（3）缺乏明確項目的發(fā)展步驟（4）缺乏項目的階段性績效標準五、我國信息安全風險的生成機理第一，戰(zhàn)略能力不足，規(guī)劃不明53第二，領導與組織能力不到位，統(tǒng)籌協(xié)調不力。（1）領導對于風險管理的重視不足，忽視電子化政府項目的高風險等具體問題；（2）行政改革與創(chuàng)新的方向性錯誤；（3）組織信息化目標的錯誤設定，片面追求上網，忽視服務質量；（4）跨部門之信息化進程的協(xié)調問題；（5）重復建設問題；（6）信息化項目未能及時完成，預算超支問題；（7）信息孤島問題；（8）項目難以有效評估或評測的問題。

第二，領導與組織能力不到位，統(tǒng)籌協(xié)調不力。54第三，投資管理的能力差，項目管理體系不成熟。（1）對項目投資管理的理念認識和關注不足；（2）項目的投資基礎（投資負責機構、提出候選項目并予以篩選、對投資項目的選定與實施過程的監(jiān)督、捕獲投資信息等）建設不完善；

（3）在項目的投資過程（包括相關篩選、控制和評估標準的確立，對實施后的復查等）機制不健全；

（4）在投資的過程管理中，存在薄弱環(huán)節(jié)，無法做到全流程的“無縫隙管理”；

（5）在優(yōu)化投資過程方面，往往無法實現(xiàn)項目投資的戰(zhàn)略性成果。

第三，投資管理的能力差，項目管理體系不成熟。55第四，資金的預算和管理能力差。（1）對信息安全投資的風險未做預測，或預測不準；（2）資金支持不足；（3）無法尋求足夠的社會資金來源；（4）信息安全投資的回報難以監(jiān)控和評估。

第四，資金的預算和管理能力差。56第五，人力資源不足。（1）缺乏信息安全風險管理的人員和能力；（2）缺乏具備充足信息安全管理資格的人員；（3）培訓跟不上項目的進程，培訓效果差；

（4）項目核心人員的流動問題。

第五，人力資源不足。57第六，法律與政策不足。我國目前的信息安全的法制工作發(fā)展較為緩慢；首先，缺乏對信息化的全面立法支持，缺乏保障政府信息化的基本法律，如政府信息公開法、政府信息資源管理法。其次，缺乏對信息安全風險的制度性規(guī)范，如信息風險手冊等。再次，原有的一些法律已不能適應信息化時代的要求，如著作權法、專利法、刑法等。

第六，法律與政策不足。58第七，保護隱私，數(shù)據安全，技術管理方面的不足。

在泄露隱私方面：（1）不當授權他人或機構濫用用戶信息；（2）未遵循法律或法規(guī)制定相應的隱私和記錄管理政策。

在影響數(shù)據安全方面：（1）工作人員對安全因素和措施缺乏足夠認知；

（2）難以解決相關安全問題；

（3）病毒或黑客攻擊導致系統(tǒng)癱瘓；

（4）由于一個主要系統(tǒng)癱瘓導致其它系統(tǒng)的失靈。

第七，保護隱私，數(shù)據安全，技術管理方面的不足。59六、信息安全風險的應對戰(zhàn)略和政策（一）明確政府的角色，強化信息安全風險管理的責任（二）建立和發(fā)展信息安全風險管理的文化（三）做好國家信息安全的薄弱環(huán)節(jié)識別，減少信息化系統(tǒng)中的問題（四）通過有效的教育和培訓提高和強化整個社會的信息安全風險管理和安全意識與能力（五）強化信息化相關的立法，建立有效的管制機制，以防止和化解信息安全風險六、信息安全風險的應對戰(zhàn)略和政策（一）明確政府的角色，強化信60（六）建立健全國家信息化的技術安全平臺，通過安全技術的發(fā)展保障信息化系統(tǒng)的安全（七）采取有效的措施，確保敏感性信息和國家重要信息基礎設施的安全（八）保障政府系統(tǒng)的安全（九）建立國家網絡空間安全的危機管理系統(tǒng)（十）通過信息的共享和廣泛的合作，化解信息安全風險（六）建立健全國家信息化的技術安全平臺，通過安全技術的發(fā)展保61

提綱一：信息化風險及風險管理研究二：信息安全風險評估

貴在實踐三、試點經驗寶貴提綱一：信息化風險及風險管理研究62黨中央、國務院高度重視網絡與信息安全工作中辦發(fā)[2003]27號文件提出了加強信息安全保障工作的總體要求和主要原則，并在工作部署中，將信息安全風險評估作為一項重要的舉措;2004年1月9日，黃菊同志在關于“全面加強信息安全保障工作，促進信息化健康發(fā)展”的講話中，提出了“抓緊研究制定基礎信息網絡和重要信息系統(tǒng)風險評估的管理規(guī)范，并組織力量提供技術支持。根據風險評估結果，進行相應等級的安全建設和管理，特別是對涉及國家機密的信息系統(tǒng)，要按照黨和國家有關保密規(guī)定進行保護。對涉及國計民生的重要信息系統(tǒng)，要進行必要的信息安全檢查?！钡拿鞔_要求黨中央、國務院高度重視網絡與信息安全工作中辦發(fā)[2003]263深刻認識開展信息安全風險評估工作的重要意義如何確切掌握網絡和信息系統(tǒng)的安全程度、分析安全威脅來自何方、安全風險有多大，加強信息安全保障工作應采取哪些措施，要投入多少人力、財力和物力；確定已采取的信息安全措施是否有效以及提出按照相應信息安全等級進行安全建設和管理的依據等一系列具體問題。風險評估是解決上述問題的重要方法和基礎性工作。系統(tǒng)的安全性可通過風險大小來度量,科學地分析系統(tǒng)在保密性、完整性、可用性等方面所面臨的威脅，發(fā)現(xiàn)系統(tǒng)安全的主要問題和矛盾，就能夠在安全風險的預防、減少、轉移、補償和分散等之間做出決策，最大限度地控制和化解安全威脅。網絡信息系統(tǒng)的安全建設都要在風險評估基礎上,成為信息化建設的內在要求，系統(tǒng)主管部門和運營、應用單位必須做好本系統(tǒng)信息安全風險評估工作。深刻認識開展信息安全風險評估工作的重要意義如何確切掌握網絡和64我對風險評估工作指導思想和原則的理解我國風險評估工作應立足國情，以我為主，突出重點、整合資源，逐步建成有中國特色的風險評估體系，為全面提高國家的信息安全保障能力而服務。風險評估是信息系統(tǒng)安全管理的基礎工作和重要環(huán)節(jié)。我國基礎信息網絡和國家電子政務系統(tǒng)、主要新聞媒體和一批涉及能源、交通、通信、戰(zhàn)略物資等國家重要信息系統(tǒng)，風險評估必須遵守以下原則：國家指導、政府監(jiān)管，統(tǒng)一規(guī)范、分類指導，突出重點、兼顧一般，軍民結合、分工協(xié)作。目前我國風險評估實施重點是基礎網絡和重要信息系統(tǒng)。同時兼顧其它信息系統(tǒng)，加強指導，確保各類網絡和信息系統(tǒng)的風險評估工作能夠健康、有序進行。我對風險評估工作指導思想和原則的理解我國風險評估工作應立足國65對風險評估總體要求的理解風險評估工作總體要求是：充分發(fā)揮和調動各方面力量，運用風險管理的思想，通過風險評估，控制和降低風險，全面提高信息系統(tǒng)防護能力，滿足信息安全需求，逐步建成有中國特色的風險評估體系。評估我國基礎信息網絡和重要信息系統(tǒng)，掌握我國基礎信息網絡和重要信息系統(tǒng)的安全狀態(tài)，及時采取合適的應對措施，保障它們的正常運行。通過對國家級重點電子政務系統(tǒng)、電子商務系統(tǒng)以及重要信息基礎設施的風險評估工作，從中摸索經驗，不斷探索，逐步完善我國風險評估工作的管理機制。

對風險評估總體要求的理解風險評估工作總體要求是：66四、建立風險評估基本管理制度的建議1、風險評估制度。包括信息系統(tǒng)在設計階段要進行風險評估以確定系統(tǒng)的安全目標；在建設驗收階段要進行風險評估以確定系統(tǒng)的安全目標達到與否；在運行維護階段要針對安全形勢和問題定期或不定期地不斷進行風險評估以確定安全措施的有效性，確保安全保障目標始終如一得以實現(xiàn)。2、信息安全檢查制度與自評估制度。信息安全檢查由信息安全主管機關或信息系統(tǒng)上級主管機關發(fā)起，依據國家風險評估的管理規(guī)范和技術標準進行的檢查評估,通過行政手段加強信息安全的重要措施。包括安全保密檢查、生產安全檢查、專項檢查等。自評估是信息系統(tǒng)運營或應用單位依靠自身力量，依據國家風險評估的管理規(guī)范和技術標準，對系統(tǒng)進行風險評估的工作。3、系統(tǒng)安全準入制度。按照誰主管誰負責、誰運營誰負責的要求，信息系統(tǒng)上級主管機關依據自評估或信息安全檢查的結果，決定是否批準信息系統(tǒng)投入建設或運行。信息系統(tǒng)安全準入工作應納入基礎信息網絡和重要信息系統(tǒng)安全管理體系。四、建立風險評估基本管理制度的建議1、風險評估制度。包括信息67我國風險評估的幾項任務1、建立風險評估基本管理制度2、加強風險評估工作隊伍的建設加強風險評估工作隊伍的建設是做好風險評估工作的前提。建議在條件相對成熟的情況下，在已有基礎上，整合資源，形成一支承擔國家基礎信息網絡和重要信息系統(tǒng)的風險評估的骨干力量，負責國家基礎信息網絡和重要信息系統(tǒng)風險評估工作。3、提出信息安全等級保護和風險評估相關聯(lián)的指導原則針對不同的信息系統(tǒng)實施信息安全等級保護的重要原則，要針對不同信息安全等級的信息系統(tǒng)，提出進行風險評估工作所遵循的相應評估準則、工作模式和工作流程，作為各部門、各單位安全風險評估指南的補充，同時豐富和完善對不同類型、不同等級的信息系統(tǒng)實施信息安全等級保護的具體內容。我國風險評估的幾項任務1、建立風險評估基本管理制度68落實風險評估建設的相關措施1、加強法規(guī)建設和標準化工作按照我國信息化發(fā)展需求，逐步完善我國風險評估相關的法律法規(guī)體系，形成和完善滿足我國信息化建設需要的風險評估標準體系，規(guī)范我國風險評估執(zhí)法主體行為，實現(xiàn)管理法制化和規(guī)范化。2、保證風險評估工作必要的經費通過國家財政正式立項，對國家基礎網絡和重要信息系統(tǒng)風險評估工作、國家安全風險評估試點示范項目、相關法規(guī)和標準研究和相關基礎研究與人才培訓等項目給予資金支持，保證配套經費的落實。3、統(tǒng)籌建設國家風險評估的基礎設施和基礎環(huán)境統(tǒng)籌建設國家基礎信息網絡和重要信息系統(tǒng)風險評估的基礎設施和基礎環(huán)境，將風險評估國家重點實驗室的建設納入國家信息安全保障基礎設施的建設規(guī)劃，構建風險分析試驗環(huán)境，組織研制開發(fā)科學、實用的檢查、評估工具，開展風險評估技術、理論、標準的研究;建立國家風險評估數(shù)據庫，積累資料，全面提高國家風險評估水平。4、加強風險評估核心技術研究與攻關研究國家要加強風險評估核心技術研究與攻關，通過技術創(chuàng)新，增強風險評估核心技術的競爭力，適應時代發(fā)展的要求，力爭在近幾年內在核心環(huán)節(jié)有較大的突破。落實風險評估建設的相關措施1、加強法規(guī)建設和標準化工作69提綱一、信息化風險及風險管理研究二：信息安全風險評估貴在實踐三、試點經驗寶貴提綱一、信息化風險及風險管理研究70研究了試點工作目的試點工作的目的是:在現(xiàn)有管理體制下，摸索如何開展信息安全風險評估工作，檢驗草擬的風險評估相關標準規(guī)范的可行性與可用性，為全面推廣信息安全風險評估工作和國家出臺《關于信息安全風險評估工作意見》做前期準備。在試點工作中將探討以下問題：探索風險評估管理機制的建設，研究如何落實中辦發(fā)27號文件“誰主管誰負責誰運營誰負責”的原則，包括信息安全風險評估的領導體制、協(xié)調機制、審查與批準、監(jiān)管、督察和備案等內容；明確信息安全風險評估的角色、責任、方法、過程及結果摸索協(xié)同開展風險評估工作和信息安全等級保護工作、保密檢查工作的實踐經驗；檢驗和完善信息安全風險評估管理規(guī)范與技術標準；了解信息安全檢查評估和自評估模式的效果與不足；研究了試點工作目的試點工作的目的是:71明確專家組工作基本思路在2004年工作的基礎上，國信辦安全組決定今年正式啟動風險評估試點工作,明確了專家組的角色：立足咨詢服務，協(xié)助試點單位主要任務:參與討論和完善“信息安全風險評估工作意見”

協(xié)助風險評估試點單位做好試點工作做好信息安全風險評估培訓和咨詢工作加緊修訂和宣貫風險評估試行標準明確專家組工作基本思路在2004年工作的基礎上，國信辦安全組72確定選擇試點單位1、條件試點單位的信息化系統(tǒng)已具有一定的規(guī)模，試點單位應具備自己的技術一定的、專業(yè)隊伍和評估實踐經驗。2、范圍信息化程度較高的行業(yè)部門的信息系統(tǒng)，如金融、稅務、電力；建設發(fā)展中的電子政務重要信息系統(tǒng)；部分涉密信息系統(tǒng)；信息化程度不同的地方單位。專家組提出建議，協(xié)助國信辦確定試點入選單位。確定選擇試點單位1、條件73協(xié)助國信辦提出試點工作階段劃分的建議專家組建議試點工作劃分為以下幾個階段：1、準備階段成立試點工作組織機構，制定試點工作規(guī)范選定試點單位2、實施階段組織對試點單位進行評估方法和技術的培訓；試點單位進行評估，并向國信辦提交工作報告；組織交流和研討，小結試點單位評估經驗，提出整改建議3、總結階段協(xié)助國信辦提出試點工作階段劃分的建議專家組建議試點工作劃分為74積極參與了試點工作協(xié)助修訂《關于開展信息安全風險評估工作的意見》，提供相關的咨詢和技術支持。參與試點的相關咨詢工作1、準備階段：組織八個試點單位的相關人員進行培訓，明確風險評估流程和風險評估準備階段的任務，協(xié)助試點單位制定其風險評估實施方案。標準培訓試點方案編制的培訓2、實施階段：調研試點方案實施情況，了解試點單位對評估及管理的流程、方法、工具的使用存在的問題，充實和完善標準。選擇重點單位進行調研，并對關鍵階段進行蹲點，以切實了解單位試點工作過程中存在的問題，為兩個標準的完善提供實踐素材；進行試點中期總結，為指導意見提供階段性素材；根據試點單位需求，進行有針對性的培訓和咨詢，協(xié)助完成試點工作積極參與了試點工作協(xié)助修訂《關于開展信息安全風險評估工作的意75積極參與了試點工作（續(xù)）總結階段：協(xié)助國信辦匯總試點工作情況，總結修改意見，并完善標準。在各試點單位正式總結之前，召開專家組評審會；為國信辦試點工作總結提供基礎素材。 標準的完善 充實和完善《信息安全風險評估指南》和《信息安全風險管理指南》，通過試點工作提出兩個標準的修改意見。同時進行與標準相關的配套理論、方法和規(guī)范的研究。積極參與了試點工作（續(xù)）總結階段：協(xié)助國信辦匯總試點工作情況76試點工作與標準驗證試點工作對去年國信辦組織制定的兩項試行標準進行了驗證，提出了修訂建議絕大多數(shù)試點單位大都參照了去年國信辦和國家安標委組織編寫的《信息安全風險評估指南》及《信息安全風險管理指南》。試點單位大都結合自身的具體情況，選擇了相應的評估方法和適當?shù)陌踩刂拼胧┘肮芾砹鞒?，實踐經驗證明各試點單位評估基于的基本原則和核心方法與試行標準指南大體吻合一致。試點工作與標準驗證試點工作對去年國信辦組織制定的兩項試行標準77收獲和體會提高了對風險評估工作的認識和理解—科學方法、長效機制為國信辦風險評估工作文件起草積累了素材檢驗了標準，兩項試行標準得到了肯定初步規(guī)范了評估內容，演練了評估的實施流程試行了部分評估技術方法，重視了評估的科學性評估方法的百花齊放和創(chuàng)新性體現(xiàn)了創(chuàng)新，積累了成果，培訓了人才收獲和體會提高了對風險評估工作的認識和理解78試點工作技術上特點計劃比較周密注意控制了評估自身的風險注意遵循和驗證標準討論稿及時總結經驗和問題始終重視人才培養(yǎng)在技術上通過評估方法的多樣化，進行