風(fēng)險(xiǎn)評(píng)估從務(wù)虛到熱啟動(dòng)
風(fēng)險(xiǎn)評(píng)估刺激信息安全
2005年8月15日,國(guó)務(wù)院信息化辦公室曲維枝常務(wù)副主任��,在國(guó)信辦網(wǎng)絡(luò)與安全組����、公安部十一局領(lǐng)導(dǎo)和信息安全風(fēng)險(xiǎn)評(píng)估試點(diǎn)工作專家組部分專家的陪同下,前往北京市朝陽區(qū)調(diào)研了信息安全風(fēng)險(xiǎn)評(píng)估試點(diǎn)情況��?����!@則不起眼的消息8月19日出現(xiàn)在北京之窗網(wǎng)站上���,沒有別的媒介跟進(jìn)和渲染�����,在安全圈內(nèi)也沒有引起什么波紋��。
安全界對(duì)風(fēng)險(xiǎn)評(píng)估的反映有些遲緩讓人不解�。因?yàn)閷?duì)正處于發(fā)展變化之際的信息安全領(lǐng)域來說,風(fēng)險(xiǎn)評(píng)估實(shí)實(shí)在在是一個(gè)閃亮的信號(hào)�。自2003年7月22日國(guó)家信息化領(lǐng)導(dǎo)小組第三次會(huì)議審議通過了《關(guān)于加強(qiáng)信息安全保障工作的意見》以后,信息安全界曾經(jīng)為之歡呼雀躍了一番��。但熱鬧之后�����,人們卻發(fā)現(xiàn)�,被寄以厚望的中辦發(fā)27號(hào)文件,原來只是一個(gè)指導(dǎo)性的文件��,不可能立竿見影地給信息安全領(lǐng)域帶來實(shí)質(zhì)性的變化�����。由此���,一段時(shí)間以來�,一種無所適從的傾向彌漫在信息安全的上空。
應(yīng)該說���,27號(hào)文下發(fā)以后�,信息安全的務(wù)實(shí)性工作一直是國(guó)信辦在抓的一件事���,并且從去年逐漸啟動(dòng)起來����。公安部等四部委聯(lián)合下發(fā)了《關(guān)于加強(qiáng)信息安全等級(jí)保護(hù)的意見》��,提出要建立和實(shí)施信息安全等級(jí)保護(hù)制度�;國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)等八部委聯(lián)合發(fā)下發(fā)了《關(guān)于建立國(guó)家信息安全產(chǎn)品認(rèn)證認(rèn)可體系的通知》��,計(jì)劃一統(tǒng)分散的認(rèn)證格局����,如此不等。曲維枝在朝陽調(diào)研時(shí)指出�����,信息安全等級(jí)保護(hù)是我國(guó)信息安全保障工作的一項(xiàng)基本制度,在落實(shí)等級(jí)化建設(shè)和保護(hù)過程中�����,風(fēng)險(xiǎn)評(píng)估是一種很好的方法和手段��。曲維枝強(qiáng)調(diào)���,我國(guó)信息化建設(shè)的很多關(guān)鍵軟���、硬件從國(guó)外進(jìn)口,在此情況下�����,我們應(yīng)當(dāng)從管理����、政策和標(biāo)準(zhǔn)等方面來彌補(bǔ)不足。
然而等級(jí)保護(hù)��,已經(jīng)也被提出了多年�����,似乎并不新鮮,更因?yàn)椴僮龇椒ㄉ喜缓冒盐?����,依然給人以“虛”的感覺����。在這樣的情況下,風(fēng)險(xiǎn)評(píng)估卻隨著信息化建設(shè)和信息安全的發(fā)展?jié)u生漸長(zhǎng)�,正在從務(wù)虛走向?qū)嵸|(zhì)性的試點(diǎn)推廣階段,而且有可能從明年開始全國(guó)范圍內(nèi)大舉推廣�����,這將給信息安全帶來很多新的“刺激”��。
啟動(dòng)程序三期顯效
讓我們先來回顧一下這一年來�,風(fēng)險(xiǎn)評(píng)估到底發(fā)生了哪些事關(guān)全局的事件。在“信息安全風(fēng)險(xiǎn)評(píng)估課題”組負(fù)責(zé)日常工作的國(guó)家信息中心信息安全研究與服務(wù)中心吳亞非常務(wù)副主任�����,為我們梳理了這一過程的前因后果���。
關(guān)于風(fēng)險(xiǎn)評(píng)估的突然間熱起����,吳亞非認(rèn)為是基于三個(gè)問題����。一是對(duì)相應(yīng)的安全產(chǎn)品在使用時(shí),所能達(dá)到的安全度有多少�,過去說不太清楚;二是在使用了安全產(chǎn)品以后還存在哪些安全問題�,也說不太清楚;三是為什么買這些安全產(chǎn)品����,也沒有相應(yīng)的依據(jù)。經(jīng)過幾年的發(fā)展���,這個(gè)問題變得越來越突出了��,迫切需要給予解答�。正是基于此���,27號(hào)文件在加強(qiáng)信息安全保障工作的總體要求和部署中��,將信息安全風(fēng)險(xiǎn)評(píng)估作為一項(xiàng)重要的舉措����。黃菊同志在全國(guó)信息安全保障工作會(huì)議的講話中明確要求:“抓緊研究制定基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的管理規(guī)范,并組織力量提供技術(shù)支持�����。根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果��,進(jìn)行相應(yīng)等級(jí)的安全建設(shè)和管理��,特別是對(duì)涉及國(guó)家機(jī)密的信息系統(tǒng)���,要按照黨和國(guó)家有關(guān)保密規(guī)定進(jìn)行保護(hù)�。對(duì)涉及國(guó)計(jì)民生的重要信息系統(tǒng)��,要進(jìn)行必要的信息安全檢查���。”
2003年7月23日�,也就是《關(guān)于加強(qiáng)信息安全保障工作的意見》剛剛審議通過后的次日��,國(guó)信辦網(wǎng)絡(luò)與信息安全組就決定委托國(guó)家信息中心組建成立“信息安全風(fēng)險(xiǎn)評(píng)估課題組”����,對(duì)信息安全風(fēng)險(xiǎn)評(píng)估工作的現(xiàn)狀進(jìn)行全面深入了解��,提出我國(guó)開展信息安全風(fēng)險(xiǎn)評(píng)估的對(duì)策和辦法,為下一步信息安全的建設(shè)和管理做準(zhǔn)備�����。
根據(jù)國(guó)信辦安全組的要求,國(guó)家信息中心迅速成立了由國(guó)家公安部��、安全部、信產(chǎn)部�����、國(guó)家認(rèn)監(jiān)委、國(guó)家標(biāo)準(zhǔn)化委����、國(guó)家密碼管理局�����、國(guó)家保密局�����、國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全中心、中國(guó)信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心��、北京市信息辦和中國(guó)人民解放軍測(cè)評(píng)認(rèn)證中心等單位同志組成的“信息安全風(fēng)險(xiǎn)評(píng)估課題組”,開展相關(guān)工作���。
2003年8月至12月�����,課題組先后對(duì)北京����、廣州����、深圳和上海4個(gè)地區(qū)�����、10多個(gè)行業(yè)的50多家單位進(jìn)行了深入細(xì)致的調(diào)查與研究,歷時(shí)4個(gè)多月����,完成了約10萬字的《信息安全風(fēng)險(xiǎn)評(píng)估調(diào)查報(bào)告》�、《信息安全風(fēng)險(xiǎn)評(píng)估研究報(bào)告》和《關(guān)于加強(qiáng)信息安全風(fēng)險(xiǎn)評(píng)估工作的建議》三份文稿��,其中《關(guān)于信息安全風(fēng)險(xiǎn)評(píng)估研究報(bào)告》在全國(guó)信息安全保障工作會(huì)議上被列為會(huì)議傳閱文件����。
研究報(bào)告指出,風(fēng)險(xiǎn)評(píng)估是信息系統(tǒng)分級(jí)防護(hù)和突出重點(diǎn)的具體體現(xiàn)�����,沒有風(fēng)險(xiǎn)評(píng)估,會(huì)導(dǎo)致信息安全需求與安全解決方案的嚴(yán)重脫離��。研究報(bào)告提出:信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的形式是,自評(píng)估和檢查評(píng)估����。調(diào)查報(bào)告指出�,目前風(fēng)險(xiǎn)評(píng)估中存在的突出問題是缺乏組織管理機(jī)構(gòu)��、法制建設(shè)欠缺、管理標(biāo)準(zhǔn)和技術(shù)標(biāo)準(zhǔn)滯后��、風(fēng)險(xiǎn)評(píng)估人才匱乏等。這兩份報(bào)告在分析了風(fēng)險(xiǎn)評(píng)估的現(xiàn)狀和問題以后����,提出了風(fēng)險(xiǎn)評(píng)估要做的事,風(fēng)險(xiǎn)評(píng)估的目標(biāo)意義和實(shí)施建議��。
在以上調(diào)查研究階段結(jié)束以后����, 2004年3月課題組專家經(jīng)過充分討論與分析��,經(jīng)國(guó)信辦安全組批準(zhǔn)����,開展了《信息安全風(fēng)險(xiǎn)評(píng)估指南》和《信息安全風(fēng)險(xiǎn)評(píng)估管理指南》兩個(gè)標(biāo)準(zhǔn)和規(guī)范草案的制定。國(guó)家信息中心信息安全研究與服務(wù)中心在課題組專家的指導(dǎo)下�,組織了近20家有實(shí)際工作經(jīng)驗(yàn)的企事業(yè)單位約40多人,于2004年9月完成了兩個(gè)指南的初稿��。全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)將《信息安全風(fēng)險(xiǎn)評(píng)估指南》列入2005年度國(guó)家信息安全標(biāo)準(zhǔn)制定工作計(jì)劃中����,將《信息安全風(fēng)險(xiǎn)管理指南》列入國(guó)家信息安全標(biāo)準(zhǔn)研究工作規(guī)劃中,國(guó)信辦決定先在全國(guó)試點(diǎn)����。國(guó)信安標(biāo)委幾個(gè)專業(yè)組的組長(zhǎng)都是這個(gè)標(biāo)準(zhǔn)組的專家組成員�����,可以說這個(gè)標(biāo)準(zhǔn)的專家組的層次是最高的����,實(shí)踐的范圍是最大的����,花的錢是最多的。國(guó)信安標(biāo)委要求把這個(gè)標(biāo)準(zhǔn)做成精品標(biāo)準(zhǔn)�����。
接下來��,從2005年初開始���,國(guó)信辦安全組決定在前兩年課題組風(fēng)險(xiǎn)評(píng)估研究工作的基礎(chǔ)上���,由國(guó)信辦組織,在北京��、上海��、黑龍江、云南��、人民銀行�����、國(guó)家稅務(wù)總局�、國(guó)家電力總公司和國(guó)家信息中心8個(gè)部門共20多個(gè)單位開展風(fēng)險(xiǎn)評(píng)估的試點(diǎn)工作,目的是在現(xiàn)有基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的管理體制下�,探索如何推進(jìn)信息安全風(fēng)險(xiǎn)評(píng)估工作,檢驗(yàn)草擬的國(guó)家標(biāo)準(zhǔn)的可行性與可用性�����,為全面推廣信息安全風(fēng)險(xiǎn)評(píng)估工作和國(guó)家出臺(tái)相關(guān)政策文件做前期準(zhǔn)備����。中間開了三次試點(diǎn)領(lǐng)導(dǎo)工作小組會(huì)議和好幾次專家會(huì)議����。各試點(diǎn)單位以自評(píng)估、檢查評(píng)估和委托評(píng)估三種模式進(jìn)行���,涉及的系統(tǒng)包括政府�����、銀行�����、電力��、稅務(wù)���、電子政務(wù)網(wǎng)絡(luò)等重要信息系統(tǒng)�����,涵蓋了規(guī)劃和設(shè)計(jì)��、實(shí)施���、運(yùn)行和維護(hù)等信息系統(tǒng)生命周期的各個(gè)階段。經(jīng)過幾個(gè)月的努力����,國(guó)家信息安全風(fēng)險(xiǎn)評(píng)估試點(diǎn)工作取得了階段性的成果,效果是比較好的���。試點(diǎn)工作計(jì)劃9月結(jié)束��,今年年底將召開經(jīng)驗(yàn)交流大會(huì)���。
風(fēng)險(xiǎn)評(píng)估經(jīng)歷了調(diào)查研究����、標(biāo)準(zhǔn)規(guī)范的制訂��、試點(diǎn)這三個(gè)階段���,都是為了一個(gè)目標(biāo)����,就是國(guó)家要正式啟動(dòng)風(fēng)險(xiǎn)評(píng)估這項(xiàng)工作��。
信息安全由虛變實(shí)
據(jù)悉���,國(guó)信辦目前正在組織起草和擬定出臺(tái)一個(gè)國(guó)家風(fēng)險(xiǎn)評(píng)估的指導(dǎo)意見,這個(gè)意見今年秋天有可能獲得通過����。這樣有了風(fēng)險(xiǎn)評(píng)估國(guó)家標(biāo)準(zhǔn)����、有了試點(diǎn)工作的經(jīng)驗(yàn)和范本�,有了國(guó)家關(guān)于風(fēng)險(xiǎn)評(píng)估的政策性文件,明年風(fēng)險(xiǎn)評(píng)估工作就將在全國(guó)范圍內(nèi)大規(guī)模地推廣實(shí)施�。
人們注意到,在已經(jīng)形成的文件中提到了風(fēng)險(xiǎn)評(píng)估的三個(gè)環(huán)節(jié)���、兩種形式�。風(fēng)險(xiǎn)評(píng)估的三個(gè)環(huán)節(jié)是指���,在方案設(shè)計(jì)的時(shí)候要評(píng)估確定它的安全等級(jí)�����,在工程建完以后要評(píng)估它所達(dá)到的安全等級(jí)�,在系統(tǒng)運(yùn)行和維護(hù)的時(shí)候要定期和不定期地評(píng)估確認(rèn)它保持的安全等級(jí)�。這是一個(gè)長(zhǎng)期的工作,不是做一次兩次就完了的事�。這也是落實(shí)27號(hào)文件“誰主管誰負(fù)責(zé)、誰運(yùn)營(yíng)誰負(fù)責(zé)”的一個(gè)具體的方式��。而評(píng)估的形式,是指自評(píng)估和檢查評(píng)估���。為什么講要以自評(píng)估為主呢��?就是說這個(gè)評(píng)估是你自己搞出來的�����,將來出了問題要查你的領(lǐng)導(dǎo)責(zé)任。因而風(fēng)險(xiǎn)評(píng)估在為主管信息化項(xiàng)目的人提供了審批項(xiàng)目的依據(jù)和辦法的同時(shí)���,也為他們追加了相應(yīng)的責(zé)任�。原來課題組還想搞的第三標(biāo)準(zhǔn)是風(fēng)險(xiǎn)評(píng)估的審批標(biāo)準(zhǔn)��,目標(biāo)就是解決誰主管誰負(fù)責(zé)的的問題,更加細(xì)化操做流程和明確責(zé)任��。
吳亞非說,在項(xiàng)目進(jìn)行過程中發(fā)現(xiàn)��,現(xiàn)在存在的主要是這么幾個(gè)問題。一個(gè)是如何把風(fēng)險(xiǎn)評(píng)估和等級(jí)保護(hù)的關(guān)系闡述得更準(zhǔn)確一點(diǎn),另外�,風(fēng)險(xiǎn)評(píng)估專業(yè)人才的匱乏�,相應(yīng)的配套制度還不完善����、評(píng)估隊(duì)伍如何管理等等都需要加以彌補(bǔ)和充實(shí)�����。風(fēng)險(xiǎn)評(píng)估還有一個(gè)最大問題�����,就是風(fēng)險(xiǎn)評(píng)估帶來的風(fēng)險(xiǎn)如何規(guī)避的問題?也就是說����,你評(píng)完以后把人家的家底都弄清楚了���,如果泄露出去怎么辦?為此�,課題組建議行業(yè)搞自已的風(fēng)險(xiǎn)評(píng)估隊(duì)伍����,建自己的風(fēng)險(xiǎn)評(píng)估中心����。因?yàn)楸拘袠I(yè)自己去做評(píng)估�����,對(duì)自己的業(yè)務(wù)系統(tǒng)��,比外面人要更清楚,也比較放心�。這一建議國(guó)家也考慮采納了��。在實(shí)際中�����,越是核心的單位,或單位越核心的系統(tǒng)����,到了一定程度他絕對(duì)不會(huì)讓外人去評(píng)估的����,這一情況在調(diào)查和試點(diǎn)過程中都可以得到證實(shí)��。
總的來說�,這是在國(guó)家層面講的�,不是企業(yè)層面的����。首先關(guān)注的是����,要保證國(guó)家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全��,這是硬性的要求�����。將要出臺(tái)的關(guān)于風(fēng)險(xiǎn)評(píng)估的指導(dǎo)意見�,其根本目標(biāo)是強(qiáng)調(diào)如何在全國(guó)推廣風(fēng)險(xiǎn)評(píng)估工作�����,重在推廣,而不是強(qiáng)調(diào)如何管這件事�����。
人們認(rèn)識(shí)到,把網(wǎng)絡(luò)信息系統(tǒng)的安全建設(shè)建立在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上�,這是信息化建設(shè)的內(nèi)在要求�����。信息安全的保障工作要實(shí)行等級(jí)保護(hù)�,而等級(jí)保護(hù)因?yàn)轱L(fēng)險(xiǎn)評(píng)估的開展有了切實(shí)的依據(jù)�����,每一層的責(zé)任也進(jìn)一步明確了,這就使得27號(hào)文提出的總體保障思路有了看得見�、摸得著的東西��,變成可操做的的具體工作�����。國(guó)信辦安全組王渝次司長(zhǎng)反復(fù)強(qiáng)調(diào)的所謂抓落實(shí),此即其一��。再者���,因?yàn)橛辛孙L(fēng)險(xiǎn)評(píng)估��,能夠把情況摸得清楚了��,用什么樣的產(chǎn)品和如何用的問題�����,將解決以往一些單位盲目采購中的過與不及的問題��。為此我們說�,信息安全下一步將會(huì)由務(wù)虛走向具體操做的程序,在這一過程中����,風(fēng)險(xiǎn)評(píng)估無疑起到了一個(gè)很好的催化的作用。
安全公司如何應(yīng)對(duì)
現(xiàn)在的問題是����,風(fēng)險(xiǎn)評(píng)估對(duì)信息安全企業(yè)會(huì)產(chǎn)生什么樣的影響。這幾年來��,一些公司的業(yè)務(wù)不斷向安全服務(wù)轉(zhuǎn)移�����,并把風(fēng)險(xiǎn)評(píng)估作為一項(xiàng)重要的服務(wù)內(nèi)容����。在現(xiàn)已公開的資料中可以看到,這樣的收費(fèi)服務(wù)項(xiàng)目在重要行業(yè)每個(gè)單子就有上百萬元的入帳。像聯(lián)想��、東軟�、啟明星辰等公司都有這方面的案例。據(jù)有關(guān)機(jī)構(gòu)推算�,在發(fā)達(dá)國(guó)家,風(fēng)險(xiǎn)評(píng)估占系統(tǒng)總體投入的比例為1%至5%���,金融、電信等行業(yè)可達(dá)3%至5%�,以此計(jì)算,僅在銀行系統(tǒng)每年這一數(shù)額就有幾個(gè)億����。
早在2003年,當(dāng)信息安全市場(chǎng)還在苦戰(zhàn)苦斗的時(shí)候�,一些公司把注意力轉(zhuǎn)到了安全服務(wù)包括風(fēng)險(xiǎn)評(píng)估上,這一年有人干脆把它稱之為風(fēng)險(xiǎn)評(píng)估年�����。但是����,由于標(biāo)準(zhǔn)和管理制度的缺乏,在實(shí)際運(yùn)作過程中����,主要還是針對(duì)具體問題����,通過一些工具和經(jīng)驗(yàn)�,找到問題,提出解決的辦法�,真正規(guī)范的風(fēng)險(xiǎn)評(píng)估工作還屬紙上談兵。
如今�,相應(yīng)的標(biāo)準(zhǔn)和國(guó)家政策都將出臺(tái),人們可能會(huì)注意到��,在評(píng)估形式中只提到了自評(píng)估和檢查評(píng)估����,也就是說沒有提到第三方的問題。那么信息安全公司能否參與風(fēng)險(xiǎn)評(píng)估或如何參與風(fēng)險(xiǎn)評(píng)估呢�?這是一個(gè)值得深思的問題。據(jù)悉����,以后每個(gè)行業(yè)要制定自己的風(fēng)險(xiǎn)評(píng)估的實(shí)施細(xì)則,評(píng)估隊(duì)伍如何管����,將來也要出臺(tái)相應(yīng)的管理辦法�����?�?赡艿某霈F(xiàn)的局面是�,在自評(píng)估過程中�,評(píng)估行業(yè)或部門會(huì)委托一些具有一定資質(zhì)的安全公司來做除最核心部分以外的風(fēng)險(xiǎn)評(píng)估工作。在這方面信息安全公司的專業(yè)作用將得到體現(xiàn)���,不論如何要求,這些專業(yè)的安全公司都會(huì)擔(dān)當(dāng)風(fēng)險(xiǎn)評(píng)估的重要角色�。
所以對(duì)信息安全企業(yè)來說,影響主要表現(xiàn)在兩個(gè)方面���。一是風(fēng)險(xiǎn)評(píng)估使用戶單位在選用安全產(chǎn)品時(shí)����,因?yàn)樨?zé)任的關(guān)系��,必須選用過硬的產(chǎn)品���,這為真正優(yōu)秀的品牌開啟綠燈�;另一影響是,部分安全公司以某種形式直接參與風(fēng)險(xiǎn)評(píng)估并從中得利�����,因?yàn)槿珖?guó)范圍內(nèi)的大規(guī)模推廣將使市場(chǎng)需求大幅提升���。但今后具體如何參與�,這是信息安全企業(yè)界需要認(rèn)真考慮和著力面對(duì)的問題�。因?yàn)殡m然市場(chǎng)看好,可它畢竟不是單純的產(chǎn)品層面的東西����,涉及的管理問題很多,還需要在實(shí)踐中磨合����。
在經(jīng)過了兩三年時(shí)間的務(wù)虛之后,我們終于有望在明年看到信息安全發(fā)生的實(shí)質(zhì)性變化����,雖然現(xiàn)在這樣說還為時(shí)過早,也很難預(yù)測(cè)過程中會(huì)出現(xiàn)什么新的問題�����,比如會(huì)不會(huì)導(dǎo)致走過場(chǎng)應(yīng)付差事的現(xiàn)象?但一個(gè)不爭(zhēng)的事實(shí)卻是����,這次風(fēng)險(xiǎn)評(píng)估的全國(guó)性熱啟動(dòng)是在27號(hào)文件出臺(tái)兩年多以后,經(jīng)多方反復(fù)探索論證和試點(diǎn)以后���,在標(biāo)準(zhǔn)規(guī)范政策完成的情況下開始的��,因而它必將對(duì)信息安全的格局產(chǎn)生重大影響�。
風(fēng)險(xiǎn)評(píng)估
風(fēng)險(xiǎn)分析或風(fēng)險(xiǎn)評(píng)估一詞大約出現(xiàn)于1956年哈佛商業(yè)評(píng)論(Harvard Business Review),當(dāng)時(shí)所謂的風(fēng)險(xiǎn)主要是指保險(xiǎn)公司的財(cái)務(wù)風(fēng)險(xiǎn)而言�,后來在學(xué)術(shù)界與保險(xiǎn)界專家的倡導(dǎo)下,成立了風(fēng)險(xiǎn)與保險(xiǎn)管理學(xué)會(huì)(The Risk and Insuranc)。到上世紀(jì)九十年代����,風(fēng)險(xiǎn)分析已經(jīng)成為一門整合性的新科學(xué)��。它涉及到技術(shù)�、管理和社會(huì)等層面。
《信息安全風(fēng)險(xiǎn)評(píng)估研究報(bào)告》若干觀點(diǎn)摘錄:
信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估
是傳統(tǒng)的風(fēng)險(xiǎn)理論和方法在信息系統(tǒng)中的運(yùn)用��。它解決如何確切掌握網(wǎng)絡(luò)和信息系統(tǒng)的安全程度����、分析安全威脅來自何方����、安全風(fēng)險(xiǎn)有多大���,加強(qiáng)信息安全保障工作應(yīng)采取哪些措施��,要投入多少人力�、財(cái)力���、物力���,確定已采取的信息安全措施是否有效,以及提出按照相應(yīng)的信息安全等級(jí)進(jìn)行安全建設(shè)和管理的依據(jù)等一系列具體問題的重要方法和基礎(chǔ)性工作�。
信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的總體目標(biāo)和目的
服務(wù)于國(guó)家信息化發(fā)展,促進(jìn)信息安全保障體系的建設(shè)�����,提高信息系統(tǒng)的安全防護(hù)能力���。
認(rèn)清信息安全環(huán)境�����、信息安全狀況�����,有助于達(dá)成共識(shí)��,明確責(zé)任�,采取或完善安全保障措施,使其更加經(jīng)濟(jì)有效�,并使信息安全策略保持一致性和持續(xù)性。
信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的形式
自評(píng)估和安全檢查評(píng)估�。安全檢查評(píng)估由信息安全主管機(jī)關(guān)或信息系統(tǒng)上級(jí)主管機(jī)關(guān)發(fā)起,依據(jù)國(guó)家風(fēng)險(xiǎn)評(píng)估的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行的檢查評(píng)估����,通過行政手段加強(qiáng)信息安全的重要措施。自評(píng)估是信息系統(tǒng)運(yùn)營(yíng)或應(yīng)用單位依靠自身力量或委托有資質(zhì)的評(píng)估機(jī)構(gòu)����,依據(jù)國(guó)家風(fēng)險(xiǎn)評(píng)估的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)����,對(duì)自管的信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估���。
信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的主要環(huán)節(jié)
信息系統(tǒng)在設(shè)計(jì)階段進(jìn)行風(fēng)險(xiǎn)評(píng)估以確定系統(tǒng)的安全目標(biāo);在建設(shè)驗(yàn)收階段進(jìn)行風(fēng)險(xiǎn)評(píng)估以確定系統(tǒng)的安全目標(biāo)達(dá)到與否��;在運(yùn)行維護(hù)階段要針對(duì)安全形勢(shì)和問題���,定期或不定期地不斷地進(jìn)行風(fēng)險(xiǎn)評(píng)估以確定安全措施的有效性���,確保安全保障目標(biāo)始終如一得以實(shí)現(xiàn)。
