管理資源我國信息安全風險評估工作的現(xiàn)狀與發(fā)展65

我國信息平安風險評估工作的現(xiàn)狀與開展國家信息中心信息平安研究與效勞中心吳亞非一、信息平安風險評估概述二、為什么要做信息平安風險評估三、我國信息平安風險評估回憶四、信息平安風險評估今后三年的開展信息平安風險評估的概念信息系統(tǒng)的平安風險信息系統(tǒng)的平安風險，是指由于系統(tǒng)存在的脆弱性，人為或自然的威脅導致平安事件發(fā)生的可能性及其造成的影響。信息平安風險評估是指依據(jù)國家有關(guān)信息技術(shù)標準，對信息系統(tǒng)及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等平安屬性進行科學評價的過程它要評估信息系統(tǒng)的脆弱性、信息系統(tǒng)面臨的威脅以及脆弱性被威脅源利用后所產(chǎn)生的實際負面影響，并根據(jù)平安事件發(fā)生的可能性和負面影響的程度來識別信息系統(tǒng)的平安風險。信息平安風險評估人們的認識能力和實踐能力是有局限性的，因此，信息系統(tǒng)存在脆弱性是不可防止的。信息系統(tǒng)的價值及其存在的脆弱性，使信息系統(tǒng)在現(xiàn)實環(huán)境中，總要面臨各種人為與自然的威脅，存在平安風險也是必然的。信息平安建設(shè)的宗旨之一，就是在綜合考慮本錢與效益的前提下，通過平安措施來控制風險，使剩余風險降低到可接受的程度。信息平安風險評估因為任何信息系統(tǒng)都會有平安風險，所以，人們追求的所謂平安的信息系統(tǒng)，實際是指信息系統(tǒng)在實施了風險評估并做出風險控制后，仍然存在的剩余風險可被接受的信息系統(tǒng)。因此，要追求信息系統(tǒng)的平安，就不能脫離全面、完整的信息系統(tǒng)的平安評估，就必須運用信息系統(tǒng)平安風險評估的思想和標準，對信息系統(tǒng)開展平安風險評估。

風險評估的意義和作用1.風險評估是信息系統(tǒng)平安的根底性工作信息平安中的風險評估是傳統(tǒng)的風險理論和方法在信息系統(tǒng)中的運用，是科學地分析和理解信息與信息系統(tǒng)在保密性、完整性、可用性等方面所面臨的風險，并在風險的減少、轉(zhuǎn)移和躲避等風險控制方法之間做出決策的過程。風險評估將導出信息系統(tǒng)的平安需求，因此，所有信息平安建設(shè)都應(yīng)該以風險評估為起點。信息平安建設(shè)的最終目的是效勞于信息化，但其直接目的是為了控制平安風險。風險評估的意義和作用只有在正確、全面地了解和理解平安風險后，才能決定如何處理平安風險，從而在信息平安的投資、信息平安措施的選擇、信息平安保障體系的建設(shè)等問題中做出合理的決策。進一步，持續(xù)的風險評估工作可以成為檢查信息系統(tǒng)本身乃至信息系統(tǒng)擁有單位的績效的有力手段，風險評估的結(jié)果能夠供相關(guān)主管單位參考，并使主管單位通過行政手段對信息系統(tǒng)的立項、投資、運行產(chǎn)生影響，促進信息系統(tǒng)擁有單位加強信息平安建設(shè)。風險評估的意義和作用2.風險評估是分級防護和突出重點的具體表達信息平安建設(shè)的根本原那么包括必須從實際出發(fā)，堅持分級防護、突出重點。風險評估正是這一要求在實際工作中的具體表達。從理論上講，不存在絕對的平安，實踐中也不可能做到絕對平安，風險總是客觀存在的。平安是風險與本錢的綜合平衡。盲目追求平安和完全回避風險是不現(xiàn)實的，也不是分級防護原那么所要求的。要從實際出發(fā)，堅持分級防護、突出重點，就必須正確地評估風險，以便采取科學、客觀、經(jīng)濟和有效的措施。風險評估的意義和作用3.加強風險評估工作是當前信息平安工作的客觀需要和緊迫需求由于信息技術(shù)的飛速開展，關(guān)系國計民生的關(guān)鍵信息根底設(shè)施的規(guī)模越來越大，同時也極大地增加了系統(tǒng)的復雜程度。興旺國家越來越重視信息平安風險評估工作，提倡風險評估制度化。他們提出，沒有有效的風險評估，便會導致信息平安需求與平安解決方案的嚴重脫離。因此，他們強調(diào)“沒有任何事情比解決錯誤的問題和建立錯誤的系統(tǒng)更沒有效率的了。〞這些興旺國家近年來大力加強了以風險評估為核心的信息系統(tǒng)平安評估工作，并通過法規(guī)、標準手段加以保障，逐步以此形成了橫跨立法、行政、司法的完整的信息平安管理體系。在我國目前的國情下，為加強宏觀信息平安管理，促進信息平安保障體系建設(shè)，就必須加強風險評估工作，并逐步使風險評估工作朝向制度化的方向開展。信息平安風險評估的目標和目的信息系統(tǒng)平安風險評估的總體目標是：效勞于國家信息化開展，促進信息平安保障體系的建設(shè)，提高信息系統(tǒng)的平安保護能力。信息系統(tǒng)平安風險評估的目的是：認清信息平安環(huán)境、信息平安狀況；有助于達成共識，明確責任；采取或完善平安保障措施，使其更加經(jīng)濟有效，并使信息平安策略保持一致性和持續(xù)性。信息平安風險評估的根本要素使命：一個單位通過信息化實現(xiàn)的工作任務(wù)。依賴度：一個單位的使命對信息系統(tǒng)和信息的依靠程度。資產(chǎn)：通過信息化建設(shè)積累起來的信息系統(tǒng)、信息、生產(chǎn)或效勞能力、人員能力和贏得的信譽等。價值：資產(chǎn)的重要程度和敏感程度。威脅：一個單位的信息資產(chǎn)的平安可能受到的侵害。威脅由多種屬性來刻畫：威脅的主體〔威脅源〕、能力、資源、動機、途徑、可能性和后果。信息平安風險評估的根本要素脆弱性：信息資產(chǎn)及其防護措施在平安方面的缺乏和弱點。脆弱性也常常被稱為漏洞。風險：由于系統(tǒng)存在的脆弱性，人為或自然的威脅導致平安事件發(fā)生的可能性及其造成的影響。它由平安事件發(fā)生的可能性及其造成的影響這兩種指標來衡量。剩余風險：采取了平安防護措施，提高了防護能力后，仍然可能存在的風險。信息平安風險評估的根本要素平安需求：為保證單位的使命能夠正常行使，在信息平安防護措施方面提出的要求。平安防護措施：對付威脅，減少脆弱性，保護資產(chǎn)，限制意外事件的影響，檢測、響應(yīng)意外事件，促進災(zāi)難恢復和打擊信息犯罪而實施的各種實踐、規(guī)程和機制的總稱。風險評估對信息系統(tǒng)生命周期的支持生命周期階段階段特征來自風險管理活動的支持階段1——規(guī)劃和啟動提出信息系統(tǒng)的目的、需求、規(guī)模和安全要求。風險評估活動可用于確定信息系統(tǒng)安全需求。階段2——設(shè)計開發(fā)或采購信息系統(tǒng)設(shè)計、購買、開發(fā)或建造。在本階段標識的風險可以用來為信息系統(tǒng)的安全分析提供支持，這可能會影響到系統(tǒng)在開發(fā)過程中要對體系結(jié)構(gòu)和設(shè)計方案進行權(quán)衡。階段3——集成實現(xiàn)信息系統(tǒng)的安全特性應(yīng)該被配置、激活、測試并得到驗證。風險評估可支持對系統(tǒng)實現(xiàn)效果的評價，考察其是否能滿足要求，并考察系統(tǒng)所運行的環(huán)境是否是預期設(shè)計的。有關(guān)風險的一系列決策必須在系統(tǒng)運行之前做出。階段4——運行和維護信息系統(tǒng)開始執(zhí)行其功能，一般情況下系統(tǒng)要不斷修改，添加硬件和軟件，或改變機構(gòu)的運行規(guī)則、策略或流程等。當定期對系統(tǒng)進行重新評估時，或者信息系統(tǒng)在其運行性生產(chǎn)環(huán)境（例如新的系統(tǒng)接口）中做出重大變更時，要對其進行風險評估活動。階段5——廢棄本階段涉及到對信息、硬件和軟件的廢棄。這些活動可能包括信息的移動、備份、丟棄、破壞以及對硬件和軟件進行的密級處理。當要廢棄或替換系統(tǒng)組件時，要對其進行風險評估，以確保硬件和軟件得到了適當?shù)膹U棄處置，且殘留信息也恰當?shù)剡M行了處理。并且要確保系統(tǒng)的更新?lián)Q代能以一個安全和系統(tǒng)化的方式完成。在實施風險評估中，有時首先根據(jù)不同級別的威脅對不同價值的資產(chǎn)可能形成的風險進行分級，進而選擇適合級別的保證措施。這是一種平安需求提煉的過程。對于方案和已經(jīng)建設(shè)的系統(tǒng)，那么應(yīng)該考慮和分析測試系統(tǒng)可能存在的脆弱性。上述工作流程應(yīng)該是一個不斷重復的循環(huán)過程，從不同階段進入風險評估工作也可能進行簡化其中的某些步驟。風險評估理論和工具通俗的講，信息系統(tǒng)平安追求的是入侵和破壞行為，面對信息系統(tǒng)和信息，進不來，看不懂，拿不走，搞不亂。風險評估的理論和工具也應(yīng)該針對這些根本的平安要求，提供檢測、判斷、分析。當前，國際上提出了一些廣義傳統(tǒng)的風險評估的理論〔并非特別針對信息系統(tǒng)平安〕。從計算方法區(qū)分，有定性的方法、定量的方法和局部定量的方法。從實施手段區(qū)分，有基于樹的技術(shù)、動態(tài)系統(tǒng)的技術(shù)等。定性的方法包括：初步的風險分析〔PreliminaryRiskAnalysis〕危險和可操作性研究〔HazardandOperabilitystudies(HAZOP)〕失效模式及影響分析〔FailureModeandEffectsAnalysis(FMEA/FMECA)〕基于樹的技術(shù)〔TreeBasedTechniques〕包括：故障樹分析〔Faulttreeanalysis〕事件樹分析〔Eventtreeanalysis〕因果分析〔Cause-ConsequenceAnalysis〕管理失敗風險樹〔ManagementOversightRiskTree〕平安管理組織檢查技術(shù)〔SafetyManagementOrganizationReviewTechnique〕動態(tài)系統(tǒng)的技術(shù)〔TechniquesforDynamicsystem〕包括：嘗試方法〔GoMethod〕有向圖/故障圖〔Digraph/FaultGraph〕馬爾可夫建模〔MarkovModeling〕動態(tài)事件邏輯分析方法學〔DynamicEventLogicAnalyticalMethodology〕動態(tài)事件樹分析方法〔DynamicEventTreeAnalysisMethod〕評估工具目前存在以下幾類：掃描工具：包括主機掃描、網(wǎng)絡(luò)掃描、數(shù)據(jù)庫掃描，用于分析系統(tǒng)的常見漏洞；入侵檢測系統(tǒng)〔IDS〕：用于收集與統(tǒng)計威脅數(shù)據(jù)；滲透性測試工具：黑客工具，用于人工滲透，評估系統(tǒng)的深層次漏洞；主機平安性審計工具：用于分析主機系統(tǒng)配置的平安性；平安管理評價系統(tǒng)：用于平安訪談，評價平安管理措施；風險綜合分析系統(tǒng)：在根底數(shù)據(jù)根底上，定量、綜合分析系統(tǒng)的風險，并且提供分類統(tǒng)計、查詢、TOPN查詢以及報表輸出功能；評估支撐環(huán)境工具:評估指標庫、知識庫、漏洞庫、算法庫、模型庫。綜觀這些理論和工具的現(xiàn)狀，存在的問題是：尚缺乏模型化和形式化描述及證明的科學深度；需要解決一般化的廣義的理論如何用于信息系統(tǒng)的平安風險評估；定性，定量的理論方法如何更加有效；工具運用的結(jié)果如何能夠反映實質(zhì)，有效測度，準確無誤；工具的使用如何能夠綜合協(xié)調(diào)。

二、為什么要做信息平安風險評估

為什么要做信息平安風險評估第一，風險評估是分析確定風險的過程。風險是客觀存在的，在日常生活和工作中隨處可見。為了了解系統(tǒng)究竟面臨什么風險、有多大風險，以及應(yīng)該采取什么樣的措施去減少、化解或躲避風險，人們經(jīng)常會提出這樣一些問題：什么地方、什么時間可能出問題？會出什么性質(zhì)的問題？出問題的可能性有多大？這些問題可能產(chǎn)生的后果是什么？應(yīng)該采取什么樣的措施加以防止和彌補？并總是試圖找出最合理的答案。這個過程實際就是風險評估為什么要做信息平安風險評估第二，信息平安風險評估是信息平安建設(shè)的起點和根底，對于信息系統(tǒng)也是如此。所有信息平安建設(shè)和管理都應(yīng)該基于信息平安風險評估，只有這樣，信息平安建設(shè)才能做到從實際出發(fā)，才能堅持需求主導、突出重點，才能以最小的代價去最大程度地保障信息平安。

為什么要做信息平安風險評估第三，信息平安風險評估是信息平安建設(shè)和管理的科學方法。風險評估提供了這么一種方法，它是我們傳統(tǒng)經(jīng)驗方法的總結(jié)和提升，是風險理論和技術(shù)的具體應(yīng)用。信息平安的一個最大特點就是看不見摸不著。在不知不覺中就已經(jīng)中了招，在不知不覺中就已經(jīng)遭受了重大損失。信息平安要講加強領(lǐng)導，要講責任制，但如果沒有科學的方法和手段，即使領(lǐng)導現(xiàn)場坐鎮(zhèn)，即使人盯死守，也仍然可能發(fā)現(xiàn)不了問題，也仍然可能出問題。這就是27號文件強調(diào)管理與技術(shù)并重的根本原因。

為什么要做信息平安風險評估第四，風險評估實際上是在倡導一種適度平安。從理論上講，不存在絕對的平安，風險總是客觀存在的。風險評估并不追求零風險、不計本錢的絕對平安，或者試圖完全消滅風險或防止風險。信息平安風險評估要求在認清風險的根底上，決定哪些風險是必須要防止的，哪些風險是可以容忍的。也就是說，信息平安風險評估要求我們算賬，要求我們在風險與建設(shè)和管理本錢之間尋求一個最正確平衡點。這表達了信息平安的一個根本原那么，就是堅持從實際出發(fā)，堅持有針對性地進行信息平安建設(shè)和管理。這也就是適度平安。

為什么要做信息平安風險評估第五，重視風險評估是信息化興旺國家的重要經(jīng)驗。早在上個世紀70年代初期美國政府就提出了風險評估的要求，2002年公布的?2002聯(lián)邦信息平安管理法?對信息平安風險評估提出了更加具體的要求。歐洲等其他信息化興旺國家也非常重視開展信息平安風險評估工作，將開展信息平安風險評估工作作為提高信息平安保障水平的重要手段。興旺國家的這些經(jīng)驗值得我們學習和借鑒。

為什么要做信息平安風險評估2005年2月，美國總統(tǒng)信息技術(shù)參謀委員會〔PITAC〕向美國總統(tǒng)提交了一份研究報告?網(wǎng)絡(luò)空間平安：迫在眉睫的危機?，提出美國目前網(wǎng)絡(luò)空間平安所面臨的重大問題包括： 1、IT根底設(shè)施在恐怖和敵對攻擊面前非常脆弱 2、網(wǎng)絡(luò)漏洞和網(wǎng)絡(luò)攻擊增長速度非?？臁?0％－40％〕 3、無所不在的互聯(lián)意味著處處可能存在平安漏洞 4、軟件是主要漏洞的所在 5、無窮無盡的打補丁并不是好的解決方法 6、需要新的根底性平安模型和方法 7、聯(lián)邦政府在研發(fā)工作中的核心地位 8、網(wǎng)絡(luò)空間平安的非技術(shù)因素為了應(yīng)對這些威脅，在?網(wǎng)絡(luò)空間平安：迫在眉睫的危機?報告中，PITAC提出了10大優(yōu)先研究工程，其中信息平安風險評估位列其中。其主要研究內(nèi)容包括：〔1〕開發(fā)網(wǎng)絡(luò)空間平安測試方法、評估標準〔2〕風險分析方法和基于不同領(lǐng)域的評估方法〔政治、軍事、經(jīng)濟等〕〔3〕平安風險以及一致性檢查的自動評估工具的研發(fā)〔4〕對易受到攻擊對象的評估研究工作，如源代碼掃描工具〔5〕通過研究過程管理、配置管理和補丁管理的最正確策略方案，來發(fā)現(xiàn)并提供有效的平安管理實施方案為什么要做信息平安風險評估三、我國信息平安風險評估回憶

調(diào)查與研究標準編制與試點政策文件起草我國信息平安風險評估回憶2003年7月?國家信息化領(lǐng)導小組關(guān)于加強信息平安保障工作的意見?〔中辦發(fā)［2003］27號〕中專門提出開展風險評估的要求：對網(wǎng)絡(luò)與信息系統(tǒng)平安的潛在威脅、薄弱環(huán)節(jié)、防護措施等進行分析評估，綜合考慮網(wǎng)絡(luò)與信息系統(tǒng)的重要性、涉密程度和面臨的風險等因素，進行相應(yīng)等級的平安建設(shè)和管理調(diào)查研究工作國信辦平安組為落實中辦發(fā)2003[27]號文件的要求，于2003年7月決定委托國家信息中心組建“信息平安風險評估課題組〞，對我國信息平安風險評估工作的現(xiàn)狀進行調(diào)查，提出我國開展風險評估的對策和方法成員單位：國家信息中心、公安部、平安部、信息產(chǎn)業(yè)部、國家認監(jiān)委、國家標準化委、國家密碼管理局、國家保密局、國家計算機網(wǎng)絡(luò)與信息平安中心、中國信息平安產(chǎn)品測評認證中心、北京市信息辦、解放軍測評認證中心調(diào)查研究工作課題組先后對四個地區(qū)(北京、廣州、深圳和上海)，十幾個行業(yè)的50多家單位進行了調(diào)查完成了?信息平安風險評估調(diào)查報告?、?信息平安風險評估研究報告?和?關(guān)于加強信息平安風險評估工作的建議?稿調(diào)查報告反映的主要情況及問題

被調(diào)查單位信息化程度各有不同對風險評估的重視程度與信息化程度成正比關(guān)系國內(nèi)現(xiàn)階段風險評估狀況風險評估已逐漸成為信息平安的一個新的點發(fā)現(xiàn)的八個問題，其中評估流程不標準是一大問題研究報告的主要內(nèi)容信息系統(tǒng)平安風險評估的概念風險評估的意義和作用信息平安風險評估的目標和目的信息平安風險評估的根本要素風險評估對信息系統(tǒng)生命周期的支持風險評估的一般工作流程當前存在的風險評估理論和工具我國信息系統(tǒng)平安風險評估的現(xiàn)狀和問題信息平安風險評估工作的原那么等級保護、認證認可、風險管理、風險評估的關(guān)系自評估、強制性檢查評估與委托評估信息系統(tǒng)平安風險評估的角色和責任信息平安風險評估的任務(wù)和措施對風險評估工作的建議內(nèi)容積極貫徹落實27號文件建立健全和完善信息系統(tǒng)平安風險評估的工作機制統(tǒng)籌建設(shè)信息平安風險評估的根底設(shè)施和根底環(huán)境啟動評估工作流程、工作標準標準的研究與制定推進根底信息網(wǎng)絡(luò)和重要信息系統(tǒng)的信息平安風險評估試點示范工作加強宣傳教育，提高風險意識標準制定工作根據(jù)?信息平安風險評估研究報告?的建議,2004年三月下旬課題組專家經(jīng)過充分的討論與分析，報國務(wù)院信息辦平安組批準,開展了?信息平安風險評估指南?和?信息平安風險管理指南?二個標準草案的制定。國家信息中心信息平安研究與效勞中心組織了近二十家有實際工作經(jīng)驗的企事業(yè)單位約四十多人，開了二十屢次工作會議，進行了信息平安風險評估標準標準草案的制定工作；到九月下旬,完成?信息平安風險評估指南?和?信息平安風險管理指南?二個標準草案的初稿。標準制定工作2004年全國信息平安標準化技術(shù)委員會將?信息平安風險評估指南?列入2005年度國家信息平安標準制定工作方案中,將?信息平安風險管理指南?列入國家信息平安標準研究工作規(guī)劃中。

目前?信息平安風險評估指南?已完成評審,報國家標準管理委員會公布國信辦已以國信【2006】9號文的形式發(fā)各部委和省市?信息平安風險評估指南?主要內(nèi)容規(guī)定了信息平安風險評估的工作流程、評估內(nèi)容、評估方法和風險判斷準那么。介紹了風險評估的定義、風險評估的模型以及風險評估的實施過程詳細描述了對資產(chǎn)、威脅和脆弱性的識別方法描述了風險評估在信息系統(tǒng)生命周期中的作用描述了風險評估的不同形式在附件中介紹了信息平安風險評估的方法、工具和實施案例?信息平安風險評估指南?主要作用指導識別信息系統(tǒng)中存在的風險，為確立信息系統(tǒng)平安等級提供參考指導信息系統(tǒng)的平安管理為執(zhí)法部門監(jiān)督提供參考為工程審查部門在審批和驗收信息系統(tǒng)時提供參考為信息系統(tǒng)業(yè)務(wù)發(fā)生變更時提供平安參考

?信息平安風險管理指南?主要內(nèi)容明確了風險管理的目的和意義：在平安措施的本錢與資產(chǎn)價值之間尋求平衡，保護信息系統(tǒng)定義了信息平安風險管理的內(nèi)容和過程風險評估風險減緩：根據(jù)評估結(jié)果，選擇適宜的方法控制風險風險決策：判斷剩余風險是否處在可接受的范圍內(nèi)全國風險評估試點工作2005年，國信辦平安組組織北京市、上海市、黑龍江省、云南省、人民銀行、國家稅務(wù)總局、國家電力總公司和國家信息中心八個部門的近20家單位開展風險評估試點工作國家信息中心負責試點工作的實施方案設(shè)計，標準培訓，到各試點單位調(diào)研，匯總各地試點報告，參與政策文件草工作試點工作的目的在現(xiàn)有根底信息網(wǎng)絡(luò)和重要信息系統(tǒng)的管理體制下，探索如何推進開展信息平安風險評估工作檢驗國家標準草案?信息平安風險評估指南?和?信息平安風險管理指南?的可行性與可用性為全面推廣信息平安風險評估工作和出臺相關(guān)政策文件做前期準備試點工作總結(jié)2005年9月，在上海召開總結(jié)大會。國務(wù)院信息辦曲維枝副主任到會聽取了各試點單位的工作匯報,對試點工作的成果給予了高度評價政策文件起草在調(diào)研和試點的根底上，國信辦會同公安部、平安部、國家保密局、密碼管理局、總參三部等部門及有關(guān)專家起草了?關(guān)于開展信息平安風險評估工作的意見?征求意見稿，反復征求了國家網(wǎng)絡(luò)與信息平安協(xié)調(diào)小組成員單位、重要信息系統(tǒng)主管部門、國家信息化專家咨詢委員會以及各試點單位意見，數(shù)易其稿。政策文件起草2005年12月16日國家網(wǎng)絡(luò)與信息平安協(xié)調(diào)小組開會討論通過了?關(guān)于開展信息平安風險評估工作的意見?，2006年元月6日國務(wù)院信息化工作辦公室將?關(guān)于開展信息平安風險評估工作的意見?印發(fā)中央各部委和全國省市。

政策文件起草?關(guān)于開展信息平安風險評估工作的意見?的印發(fā)，標志著我國信息平安領(lǐng)域一項根底性、全局性的新工作正式啟動。

四、信息平安風險評估今后三年的開展目標：用三年左右的時間在我國根底信息網(wǎng)絡(luò)和重要信息系統(tǒng)普遍推行信息平安風險評估工作，全面提高我國信息平安的科學管理水平，提升網(wǎng)絡(luò)和信息系統(tǒng)平安保障能力，為保障和促進我國信息化開展效勞。高度重視組織管理工作各信息化和信息平安主管部門要充分認識風險評估工作對于提高信息平安管理水平的重要意義，切實加強對風險評估工作的管理，抓緊制定貫徹落實的方法，積極穩(wěn)妥地推進。要從抓試點開始，逐步探索組織實施和管理的經(jīng)驗，高度重視組織管理工作

信息系統(tǒng)擁有、運營或使用單位和有關(guān)管理部門要按照“誰主管、誰負責，誰運營、誰負責〞的原那么，在信息平安風險評估工作中切實負起組織領(lǐng)導的責任；將開展風險評估工作制度化，定期組織實施信息系統(tǒng)自評估，積極配合有關(guān)部門的檢查評估，并將開展風險評估的費用列入系統(tǒng)運行維護費用；有關(guān)部門要將開展信息平安風險評估作為根底信息網(wǎng)絡(luò)和重要信息系統(tǒng)規(guī)劃、建設(shè)和等級保護監(jiān)管工作的重要內(nèi)容。風險評估工作應(yīng)當貫穿信息系統(tǒng)全生命周期信息平安風險評估也是落實等級保護制度的重要手段，應(yīng)通過信息平安風險評估為信息系統(tǒng)確定平安等級提供依據(jù)，根據(jù)風險評估的結(jié)果檢驗網(wǎng)絡(luò)與信息系統(tǒng)的防護水平是否符合等級保護的要求。

三個評估環(huán)節(jié)信息系統(tǒng)規(guī)劃設(shè)計階段：通過評估明確平安需求、平安目標和平安保障措施，為工程審批提供依據(jù)信息