风险管理与信息安全风险评估课件

风险管理与信息安全风险评估国家信息中心2005.12

风险管理与信息安全风险评估国家信息中心

1

提纲一：信息化风险及风险管理研究

二：信息安全风险评估贵在实践三、试点经验宝贵提纲一：信息化风险及风险管理研究2一：信息化风险及风险管理研究随着信息化的发展，信息化的风险与风险管理问题已经成为各个国家、国际组织所普遍关注的问题。信息化的风险管理，其中信息安全风险和保障网络空间的安全已经成为关系信息化能否健康发展的重大问题。

一：信息化风险及风险管理研究随着信息化的发展，信息化的风险与3一、信息化风险的定义风险指行动或者事件的结果的不确定性（uncertaintyofoutcome）。信息化的风险被界定为信息化可能或者实际带来的消极威胁。风险管理泛指评估风险、确认风险、回应风险的过程。一、信息化风险的定义风险指行动或者事件的结果的不确定性（un4二、信息化风险的主要特征

全球性传染性复杂性隐蔽性二、信息化风险的主要特征全球性5三、信息化风险的内在原因

基本原因在于内因，由信息化自身的特点所决定第一，信息化的无疆界特征；第二，信息化的低成本特征；第三，信息化的开放性特征；第四，信息化的匿名性特征。

三、信息化风险的内在原因基本原因在于内因，由信息化自身的特6第一，自然灾害第二，误操作和安全生产事故；第三，病毒、蠕虫以及网络攻击；第四，由于信任体系不完善，借助信息化手段进行欺诈；第五，因内部因素而造成的信息、数据的修改和丢失和内部泄密；；第六，因外部因素造成信息、数据的泄露、篡改和丢失；第七，安全防范措施不到位的高端技术。四、外部原因第一，自然灾害四、外部原因7五、我国信息安全风险的生成机理

第一，战略能力不足，规划不明确。（1）缺乏项目的建设战略（2）缺乏项目的中长期发展规划（3）缺乏明确项目的发展步骤（4）缺乏项目的阶段性绩效标准五、我国信息安全风险的生成机理第一，战略能力不足，规划不明8第二，领导与组织能力不到位，统筹协调不力。（1）领导对于风险管理的重视不足，忽视电子化政府项目的高风险等具体问题；（2）行政改革与创新的方向性错误；（3）组织信息化目标的错误设定，片面追求上网，忽视服务质量；（4）跨部门之信息化进程的协调问题；（5）重复建设问题；（6）信息化项目未能及时完成，预算超支问题；（7）信息孤岛问题；（8）项目难以有效评估或评测的问题。

第二，领导与组织能力不到位，统筹协调不力。9第三，投资管理的能力差，项目管理体系不成熟。（1）对项目投资管理的理念认识和关注不足；（2）项目的投资基础（投资负责机构、提出候选项目并予以筛选、对投资项目的选定与实施过程的监督、捕获投资信息等）建设不完善；

（3）在项目的投资过程（包括相关筛选、控制和评估标准的确立，对实施后的复查等）机制不健全；

（4）在投资的过程管理中，存在薄弱环节，无法做到全流程的“无缝隙管理”；

（5）在优化投资过程方面，往往无法实现项目投资的战略性成果。

第三，投资管理的能力差，项目管理体系不成熟。10第四，资金的预算和管理能力差。（1）对信息安全投资的风险未做预测，或预测不准；（2）资金支持不足；（3）无法寻求足够的社会资金来源；（4）信息安全投资的回报难以监控和评估。

第四，资金的预算和管理能力差。11第五，人力资源不足。（1）缺乏信息安全风险管理的人员和能力；（2）缺乏具备充足信息安全管理资格的人员；（3）培训跟不上项目的进程，培训效果差；

（4）项目核心人员的流动问题。

第五，人力资源不足。12第六，法律与政策不足。我国目前的信息安全的法制工作发展较为缓慢；首先，缺乏对信息化的全面立法支持，缺乏保障政府信息化的基本法律，如政府信息公开法、政府信息资源管理法。其次，缺乏对信息安全风险的制度性规范，如信息风险手册等。再次，原有的一些法律已不能适应信息化时代的要求，如著作权法、专利法、刑法等。

第六，法律与政策不足。13第七，保护隐私，数据安全，技术管理方面的不足。

在泄露隐私方面：（1）不当授权他人或机构滥用用户信息；（2）未遵循法律或法规制定相应的隐私和记录管理政策。

在影响数据安全方面：（1）工作人员对安全因素和措施缺乏足够认知；

（2）难以解决相关安全问题；

（3）病毒或黑客攻击导致系统瘫痪；

（4）由于一个主要系统瘫痪导致其它系统的失灵。

第七，保护隐私，数据安全，技术管理方面的不足。14六、信息安全风险的应对战略和政策（一）明确政府的角色，强化信息安全风险管理的责任（二）建立和发展信息安全风险管理的文化（三）做好国家信息安全的薄弱环节识别，减少信息化系统中的问题（四）通过有效的教育和培训提高和强化整个社会的信息安全风险管理和安全意识与能力（五）强化信息化相关的立法，建立有效的管制机制，以防止和化解信息安全风险六、信息安全风险的应对战略和政策（一）明确政府的角色，强化信15（六）建立健全国家信息化的技术安全平台，通过安全技术的发展保障信息化系统的安全（七）采取有效的措施，确保敏感性信息和国家重要信息基础设施的安全（八）保障政府系统的安全（九）建立国家网络空间安全的危机管理系统（十）通过信息的共享和广泛的合作，化解信息安全风险（六）建立健全国家信息化的技术安全平台，通过安全技术的发展保16

提纲一：信息化风险及风险管理研究二：信息安全风险评估

贵在实践三、试点经验宝贵提纲一：信息化风险及风险管理研究17党中央、国务院高度重视网络与信息安全工作中办发[2003]27号文件提出了加强信息安全保障工作的总体要求和主要原则，并在工作部署中，将信息安全风险评估作为一项重要的举措;2004年1月9日，黄菊同志在关于“全面加强信息安全保障工作，促进信息化健康发展”的讲话中，提出了“抓紧研究制定基础信息网络和重要信息系统风险评估的管理规范，并组织力量提供技术支持。根据风险评估结果，进行相应等级的安全建设和管理，特别是对涉及国家机密的信息系统，要按照党和国家有关保密规定进行保护。对涉及国计民生的重要信息系统，要进行必要的信息安全检查。”的明确要求党中央、国务院高度重视网络与信息安全工作中办发[2003]218深刻认识开展信息安全风险评估工作的重要意义如何确切掌握网络和信息系统的安全程度、分析安全威胁来自何方、安全风险有多大，加强信息安全保障工作应采取哪些措施，要投入多少人力、财力和物力；确定已采取的信息安全措施是否有效以及提出按照相应信息安全等级进行安全建设和管理的依据等一系列具体问题。风险评估是解决上述问题的重要方法和基础性工作。系统的安全性可通过风险大小来度量,科学地分析系统在保密性、完整性、可用性等方面所面临的威胁，发现系统安全的主要问题和矛盾，就能够在安全风险的预防、减少、转移、补偿和分散等之间做出决策，最大限度地控制和化解安全威胁。网络信息系统的安全建设都要在风险评估基础上,成为信息化建设的内在要求，系统主管部门和运营、应用单位必须做好本系统信息安全风险评估工作。深刻认识开展信息安全风险评估工作的重要意义如何确切掌握网络和19我对风险评估工作指导思想和原则的理解我国风险评估工作应立足国情，以我为主，突出重点、整合资源，逐步建成有中国特色的风险评估体系，为全面提高国家的信息安全保障能力而服务。风险评估是信息系统安全管理的基础工作和重要环节。我国基础信息网络和国家电子政务系统、主要新闻媒体和一批涉及能源、交通、通信、战略物资等国家重要信息系统，风险评估必须遵守以下原则：国家指导、政府监管，统一规范、分类指导，突出重点、兼顾一般，军民结合、分工协作。目前我国风险评估实施重点是基础网络和重要信息系统。同时兼顾其它信息系统，加强指导，确保各类网络和信息系统的风险评估工作能够健康、有序进行。我对风险评估工作指导思想和原则的理解我国风险评估工作应立足国20对风险评估总体要求的理解风险评估工作总体要求是：充分发挥和调动各方面力量，运用风险管理的思想，通过风险评估，控制和降低风险，全面提高信息系统防护能力，满足信息安全需求，逐步建成有中国特色的风险评估体系。评估我国基础信息网络和重要信息系统，掌握我国基础信息网络和重要信息系统的安全状态，及时采取合适的应对措施，保障它们的正常运行。通过对国家级重点电子政务系统、电子商务系统以及重要信息基础设施的风险评估工作，从中摸索经验，不断探索，逐步完善我国风险评估工作的管理机制。

对风险评估总体要求的理解风险评估工作总体要求是：21四、建立风险评估基本管理制度的建议1、风险评估制度。包括信息系统在设计阶段要进行风险评估以确定系统的安全目标；在建设验收阶段要进行风险评估以确定系统的安全目标达到与否；在运行维护阶段要针对安全形势和问题定期或不定期地不断进行风险评估以确定安全措施的有效性，确保安全保障目标始终如一得以实现。2、信息安全检查制度与自评估制度。信息安全检查由信息安全主管机关或信息系统上级主管机关发起，依据国家风险评估的管理规范和技术标准进行的检查评估,通过行政手段加强信息安全的重要措施。包括安全保密检查、生产安全检查、专项检查等。自评估是信息系统运营或应用单位依靠自身力量，依据国家风险评估的管理规范和技术标准，对系统进行风险评估的工作。3、系统安全准入制度。按照谁主管谁负责、谁运营谁负责的要求，信息系统上级主管机关依据自评估或信息安全检查的结果，决定是否批准信息系统投入建设或运行。信息系统安全准入工作应纳入基础信息网络和重要信息系统安全管理体系。四、建立风险评估基本管理制度的建议1、风险评估制度。包括信息22我国风险评估的几项任务1、建立风险评估基本管理制度2、加强风险评估工作队伍的建设加强风险评估工作队伍的建设是做好风险评估工作的前提。建议在条件相对成熟的情况下，在已有基础上，整合资源，形成一支承担国家基础信息网络和重要信息系统的风险评估的骨干力量，负责国家基础信息网络和重要信息系统风险评估工作。3、提出信息安全等级保护和风险评估相关联的指导原则针对不同的信息系统实施信息安全等级保护的重要原则，要针对不同信息安全等级的信息系统，提出进行风险评估工作所遵循的相应评估准则、工作模式和工作流程，作为各部门、各单位安全风险评估指南的补充，同时丰富和完善对不同类型、不同等级的信息系统实施信息安全等级保护的具体内容。我国风险评估的几项任务1、建立风险评估基本管理制度23落实风险评估建设的相关措施1、加强法规建设和标准化工作按照我国信息化发展需求，逐步完善我国风险评估相关的法律法规体系，形成和完善满足我国信息化建设需要的风险评估标准体系，规范我国风险评估执法主体行为，实现管理法制化和规范化。2、保证风险评估工作必要的经费通过国家财政正式立项，对国家基础网络和重要信息系统风险评估工作、国家安全风险评估试点示范项目、相关法规和标准研究和相关基础研究与人才培训等项目给予资金支持，保证配套经费的落实。3、统筹建设国家风险评估的基础设施和基础环境统筹建设国家基础信息网络和重要信息系统风险评估的基础设施和基础环境，将风险评估国家重点实验室的建设纳入国家信息安全保障基础设施的建设规划，构建风险分析试验环境，组织研制开发科学、实用的检查、评估工具，开展风险评估技术、理论、标准的研究;建立国家风险评估数据库，积累资料，全面提高国家风险评估水平。4、加强风险评估核心技术研究与攻关研究国家要加强风险评估核心技术研究与攻关，通过技术创新，增强风险评估核心技术的竞争力，适应时代发展的要求，力争在近几年内在核心环节有较大的突破。落实风险评估建设的相关措施1、加强法规建设和标准化工作24提纲一、信息化风险及风险管理研究二：信息安全风险评估贵在实践三、试点经验宝贵提纲一、信息化风险及风险管理研究25研究了试点工作目的试点工作的目的是:在现有管理体制下，摸索如何开展信息安全风险评估工作，检验草拟的风险评估相关标准规范的可行性与可用性，为全面推广信息安全风险评估工作和国家出台《关于信息安全风险评估工作意见》做前期准备。在试点工作中将探讨以下问题：探索风险评估管理机制的建设，研究如何落实中办发27号文件“谁主管谁负责谁运营谁负责”的原则，包括信息安全风险评估的领导体制、协调机制、审查与批准、监管、督察和备案等内容；明确信息安全风险评估的角色、责任、方法、过程及结果摸索协同开展风险评估工作和信息安全等级保护工作、保密检查工作的实践经验；检验和完善信息安全风险评估管理规范与技术标准；了解信息安全检查评估和自评估模式的效果与不足；研究了试点工作目的试点工作的目的是:26明确专家组工作基本思路在2004年工作的基础上，国信办安全组决定今年正式启动风险评估试点工作,明确了专家组的角色：立足咨询服务，协助试点单位主要任务:参与讨论和完善“信息安全风险评估工作意见”

协助风险评估试点单位做好试点工作做好信息安全风险评估培训和咨询工作加紧修订和宣贯风险评估试行标准明确专家组工作基本思路在2004年工作的基础上，国信办安全组27确定选择试点单位1、条件试点单位的信息化系统已具有一定的规模，试点单位应具备自己的技术一定的、专业队伍和评估实践经验。2、范围信息化程度较高的行业部门的信息系统，如金融、税务、电力；建设发展中的电子政务重要信息系统；部分涉密信息系统；信息化程度不同的地方单位。专家组提出建议，协助国信办确定试点入选单位。确定选择试点单位1、条件28协助国信办提出试点工作阶段划分的建议专家组建议试点工作划分为以下几个阶段：1、准备阶段成立试点工作组织机构，制定试点工作规范选定试点单位2、实施阶段组织对试点单位进行评估方法和技术的培训；试点单位进行评估，并向国信办提交工作报告；组织交流和研讨，小结试点单位评估经验，提出整改建议3、总结阶段协助国信办提出试点工作阶段划分的建议专家组建议试点工作划分为29积极参与了试点工作协助修订《关于开展信息安全风险评估工作的意见》，提供相关的咨询和技术支持。参与试点的相关咨询工作1、准备阶段：组织八个试点单位的相关人员进行培训，明确风险评估流程和风险评估准备阶段的任务，协助试点单位制定其风险评估实施方案。标准培训试点方案编制的培训2、实施阶段：调研试点方案实施情况，了解试点单位对评估及管理的流程、方法、工具的使用存在的问题，充实和完善标准。选择重点单位进行调研，并对关键阶段进行蹲点，以切实了解单位试点工作过程中存在的问题，为两个标准的完善提供实践素材；进行试点中期总结，为指导意见提供阶段性素材；根据试点单位需求，进行有针对性的培训和咨询，协助完成试点工作积极参与了试点工作协助修订《关于开展信息安全风险评估工作的意30积极参与了试点工作（续）总结阶段：协助国信办汇总试点工作情况，总结修改意见，并完善标准。在各试点单位正式总结之前，召开专家组评审会；为国信办试点工作总结提供基础素材。 标准的完善 充实和完善《信息安全风险评估指南》和《信息安全风险管理指南》，通过试点工作提出两个标准的修改意见。同时进行与标准相关的配套理论、方法和规范的研究。积极参与了试点工作（续）总结阶段：协助国信办汇总试点工作情况31试点工作与标准验证试点工作对去年国信办组织制定的两项试行标准进行了验证，提出了修订建议绝大多数试点单位大都参照了去年国信办和国家安标委组织编写的《信息安全风险评估指南》及《信息安全风险管理指南》。试点单位大都结合自身的具体情况，选择了相应的评估方法和适当的安全控制措施及管理流程，实践经验证明各试点单位评估基于的基本原则和核心方法与试行标准指南大体吻合一致。试点工作与标准验证试点工作对去年国信办组织制定的两项试行标准32收获和体会提高了对风险评估工作的认识和理解—科学方法、长效机制为国信办风险评估工作文件起草积累了素材检验了标准，两项试行标准得到了肯定初步规范了评估内容，演练了评估的实施流程试行了部分评估技术方法，重视了评估的科学性评估方法的百花齐放和创新性体现了创新，积累了成果，培训了人才收获和体会提高了对风险评估工作的认识和理解33试点工作技术上特点计划比较周密注意控制了评估自身的风险注意遵循和验证标准讨论稿及时总结经验和问题始终重视人才培养在技术上通过评估方法的多样化，进行了有益的探索试点工作技术上特点计划比较周密34典型方法之一：综合风险计算法规范评估过程摸清家底：划分资产类型，建立重要资产清单，识别资产重要性分析威胁和分析脆弱性两种途径按层次分析脆弱性判定安全时间及其影响计算威胁风险值制定风险控制措施典型方法之一：综合风险计算法规范评估过程35典型方法之四：面向关键信息资产的评估方法（续）威胁路径分析法面向关键信息资产的层次分析法利用等级保护支撑平台的评估方法

典型方法之四：面向关键信息资产的评估方法（续）威胁路径分析36试点工作出现了一批成果上海市的风险评估管理软件评估模型和方法的创新与探索北京市利用了已有的工具平台，形成了评估辅助工具平台黑龙江提出了基于模糊综合判定理论的风险评估判定方法既有量化的探索，也有定性为主的探索云南提出了增加业务流分析和已有控制措施的有效性识别或判定试点工作出现了一批成果上海市的风险评估管理软件37试点工作出现了一批成果（续）国家税务总局提出了差距分析法，细化了流程国电公司提出了符合行业特点的方法，初步形成了行业安全评估方法论，涵盖了安全定义、安全评测和风险分析的全过程试点工作出现了一批成果（续）国家税务总局提出了差距分析法，细38试点工作发现的问题技术评测工具，缺乏统一的要求和资质认定模拟环境或联机旁路测试环境的不完备和缺乏测试深度的不平衡管理标准规范试行标准指南总体得到肯定，但尚需进一步完善试点工作发现的问题技术39下一步建议认真总结经验统一规划、建立制度。制定国家基础网络和重要信息系统的风险评估总体规划以及“十一五”期间的工作计划。积极推进风险评估基本管理制度的建立；应尽快就国家基础信息网络和重要信息系统风险评估工作所涉及的领导体制、协调机制、认证与认可、监管和督察、评估时间、评估对象、评估范围、评估方式、评估人员资质、评估结果发布和备案等内容，进一步开展研究，形成风险评估工作管理法规制度加快建立、逐步完善标准规范体系。标准规范是推广和实施风险评估工作的法律依据和技术保障，要加快风险评估管理与技术标准的制定和完善，研究评估机构服务标准、资质认可与资质的核查评估的管理办法；尽快出台国家标准。下一步建议认真总结经验40建设独立自主、符合国际惯例的风险评估技术支撑体系举国家之力，支持建设独立自主、符合国际惯例的风险评估技术支撑体系。建设国家基础信息网络和重要信息系统风险评估的基础设施和基础环境；落实开发相关技术和产品的攻关项目。通过研发自主关键技术和设备，满足国家网络基础设施和重要信息系统的风险评估需求，支持安全评估应用逐步建立符合国际惯例、达到国际先进水平的安全评估技术支撑体系建设独立自主、符合国际惯例的风险评估技术支撑体系举国家之力，41安全测试评估工具、平台与环境促进建立国家信息安全测试评估体系——形成示范应用产品和系统测试评估工具产品和系统测试评估支撑环境建立先进的测试评估标准体系和开发环境系统等级保护测试评估平台安全测试评估技术与系统安全测试评估工具、平台与环境促进建立国家信息安全测试评估体系42下一步建议（续）加强风险评估工作队伍的建设，重视培训、建立风险评估机构管理制度在已有基础上，整合资源，分类指导，组建不同等级的风险评估机构，分别承担国家和地方基础信息网络和重要信息系统以及本行业信息系统风险评估工作，形成风险评估的骨干力量。风险评估敏感性很强，如果引导不当，管理不到位，有可能因为风险评估带来新的安全隐患。对国家基础信息网络和重要信息系统的风险评估，实行资质准入制度，只充许经国家批准的风险评估机构实施风险评估。国家必须加强风险评估评估工作的管理，建立服务标准、资质认可与资质核查评估制度。下一步建议（续）加强风险评估工作队伍的建设，重视培训、建立风43限于水平和精力，专家组工作，还有许多不到之处，欢迎批评指正!谢谢!在国信办领导的指导下，专家组工作得到了各试点单位的大力支持，对此专家组向地试点单位表示衷心的感谢！限于水平和精力，专家组工作，还有许多不到之处，欢迎批评指正!44演讲完毕，谢谢观看！演讲完毕，谢谢观看！45风险管理与信息安全风险评估国家信息中心2005.12

风险管理与信息安全风险评估国家信息中心

46

提纲一：信息化风险及风险管理研究

二：信息安全风险评估贵在实践三、试点经验宝贵提纲一：信息化风险及风险管理研究47一：信息化风险及风险管理研究随着信息化的发展，信息化的风险与风险管理问题已经成为各个国家、国际组织所普遍关注的问题。信息化的风险管理，其中信息安全风险和保障网络空间的安全已经成为关系信息化能否健康发展的重大问题。

一：信息化风险及风险管理研究随着信息化的发展，信息化的风险与48一、信息化风险的定义风险指行动或者事件的结果的不确定性（uncertaintyofoutcome）。信息化的风险被界定为信息化可能或者实际带来的消极威胁。风险管理泛指评估风险、确认风险、回应风险的过程。一、信息化风险的定义风险指行动或者事件的结果的不确定性（un49二、信息化风险的主要特征

全球性传染性复杂性隐蔽性二、信息化风险的主要特征全球性50三、信息化风险的内在原因

基本原因在于内因，由信息化自身的特点所决定第一，信息化的无疆界特征；第二，信息化的低成本特征；第三，信息化的开放性特征；第四，信息化的匿名性特征。

三、信息化风险的内在原因基本原因在于内因，由信息化自身的特51第一，自然灾害第二，误操作和安全生产事故；第三，病毒、蠕虫以及网络攻击；第四，由于信任体系不完善，借助信息化手段进行欺诈；第五，因内部因素而造成的信息、数据的修改和丢失和内部泄密；；第六，因外部因素造成信息、数据的泄露、篡改和丢失；第七，安全防范措施不到位的高端技术。四、外部原因第一，自然灾害四、外部原因52五、我国信息安全风险的生成机理

第一，战略能力不足，规划不明确。（1）缺乏项目的建设战略（2）缺乏项目的中长期发展规划（3）缺乏明确项目的发展步骤（4）缺乏项目的阶段性绩效标准五、我国信息安全风险的生成机理第一，战略能力不足，规划不明53第二，领导与组织能力不到位，统筹协调不力。（1）领导对于风险管理的重视不足，忽视电子化政府项目的高风险等具体问题；（2）行政改革与创新的方向性错误；（3）组织信息化目标的错误设定，片面追求上网，忽视服务质量；（4）跨部门之信息化进程的协调问题；（5）重复建设问题；（6）信息化项目未能及时完成，预算超支问题；（7）信息孤岛问题；（8）项目难以有效评估或评测的问题。

第二，领导与组织能力不到位，统筹协调不力。54第三，投资管理的能力差，项目管理体系不成熟。（1）对项目投资管理的理念认识和关注不足；（2）项目的投资基础（投资负责机构、提出候选项目并予以筛选、对投资项目的选定与实施过程的监督、捕获投资信息等）建设不完善；

（3）在项目的投资过程（包括相关筛选、控制和评估标准的确立，对实施后的复查等）机制不健全；

（4）在投资的过程管理中，存在薄弱环节，无法做到全流程的“无缝隙管理”；

（5）在优化投资过程方面，往往无法实现项目投资的战略性成果。

第三，投资管理的能力差，项目管理体系不成熟。55第四，资金的预算和管理能力差。（1）对信息安全投资的风险未做预测，或预测不准；（2）资金支持不足；（3）无法寻求足够的社会资金来源；（4）信息安全投资的回报难以监控和评估。

第四，资金的预算和管理能力差。56第五，人力资源不足。（1）缺乏信息安全风险管理的人员和能力；（2）缺乏具备充足信息安全管理资格的人员；（3）培训跟不上项目的进程，培训效果差；

（4）项目核心人员的流动问题。

第五，人力资源不足。57第六，法律与政策不足。我国目前的信息安全的法制工作发展较为缓慢；首先，缺乏对信息化的全面立法支持，缺乏保障政府信息化的基本法律，如政府信息公开法、政府信息资源管理法。其次，缺乏对信息安全风险的制度性规范，如信息风险手册等。再次，原有的一些法律已不能适应信息化时代的要求，如著作权法、专利法、刑法等。

第六，法律与政策不足。58第七，保护隐私，数据安全，技术管理方面的不足。

在泄露隐私方面：（1）不当授权他人或机构滥用用户信息；（2）未遵循法律或法规制定相应的隐私和记录管理政策。

在影响数据安全方面：（1）工作人员对安全因素和措施缺乏足够认知；

（2）难以解决相关安全问题；

（3）病毒或黑客攻击导致系统瘫痪；

（4）由于一个主要系统瘫痪导致其它系统的失灵。

第七，保护隐私，数据安全，技术管理方面的不足。59六、信息安全风险的应对战略和政策（一）明确政府的角色，强化信息安全风险管理的责任（二）建立和发展信息安全风险管理的文化（三）做好国家信息安全的薄弱环节识别，减少信息化系统中的问题（四）通过有效的教育和培训提高和强化整个社会的信息安全风险管理和安全意识与能力（五）强化信息化相关的立法，建立有效的管制机制，以防止和化解信息安全风险六、信息安全风险的应对战略和政策（一）明确政府的角色，强化信60（六）建立健全国家信息化的技术安全平台，通过安全技术的发展保障信息化系统的安全（七）采取有效的措施，确保敏感性信息和国家重要信息基础设施的安全（八）保障政府系统的安全（九）建立国家网络空间安全的危机管理系统（十）通过信息的共享和广泛的合作，化解信息安全风险（六）建立健全国家信息化的技术安全平台，通过安全技术的发展保61

提纲一：信息化风险及风险管理研究二：信息安全风险评估

贵在实践三、试点经验宝贵提纲一：信息化风险及风险管理研究62党中央、国务院高度重视网络与信息安全工作中办发[2003]27号文件提出了加强信息安全保障工作的总体要求和主要原则，并在工作部署中，将信息安全风险评估作为一项重要的举措;2004年1月9日，黄菊同志在关于“全面加强信息安全保障工作，促进信息化健康发展”的讲话中，提出了“抓紧研究制定基础信息网络和重要信息系统风险评估的管理规范，并组织力量提供技术支持。根据风险评估结果，进行相应等级的安全建设和管理，特别是对涉及国家机密的信息系统，要按照党和国家有关保密规定进行保护。对涉及国计民生的重要信息系统，要进行必要的信息安全检查。”的明确要求党中央、国务院高度重视网络与信息安全工作中办发[2003]263深刻认识开展信息安全风险评估工作的重要意义如何确切掌握网络和信息系统的安全程度、分析安全威胁来自何方、安全风险有多大，加强信息安全保障工作应采取哪些措施，要投入多少人力、财力和物力；确定已采取的信息安全措施是否有效以及提出按照相应信息安全等级进行安全建设和管理的依据等一系列具体问题。风险评估是解决上述问题的重要方法和基础性工作。系统的安全性可通过风险大小来度量,科学地分析系统在保密性、完整性、可用性等方面所面临的威胁，发现系统安全的主要问题和矛盾，就能够在安全风险的预防、减少、转移、补偿和分散等之间做出决策，最大限度地控制和化解安全威胁。网络信息系统的安全建设都要在风险评估基础上,成为信息化建设的内在要求，系统主管部门和运营、应用单位必须做好本系统信息安全风险评估工作。深刻认识开展信息安全风险评估工作的重要意义如何确切掌握网络和64我对风险评估工作指导思想和原则的理解我国风险评估工作应立足国情，以我为主，突出重点、整合资源，逐步建成有中国特色的风险评估体系，为全面提高国家的信息安全保障能力而服务。风险评估是信息系统安全管理的基础工作和重要环节。我国基础信息网络和国家电子政务系统、主要新闻媒体和一批涉及能源、交通、通信、战略物资等国家重要信息系统，风险评估必须遵守以下原则：国家指导、政府监管，统一规范、分类指导，突出重点、兼顾一般，军民结合、分工协作。目前我国风险评估实施重点是基础网络和重要信息系统。同时兼顾其它信息系统，加强指导，确保各类网络和信息系统的风险评估工作能够健康、有序进行。我对风险评估工作指导思想和原则的理解我国风险评估工作应立足国65对风险评估总体要求的理解风险评估工作总体要求是：充分发挥和调动各方面力量，运用风险管理的思想，通过风险评估，控制和降低风险，全面提高信息系统防护能力，满足信息安全需求，逐步建成有中国特色的风险评估体系。评估我国基础信息网络和重要信息系统，掌握我国基础信息网络和重要信息系统的安全状态，及时采取合适的应对措施，保障它们的正常运行。通过对国家级重点电子政务系统、电子商务系统以及重要信息基础设施的风险评估工作，从中摸索经验，不断探索，逐步完善我国风险评估工作的管理机制。

对风险评估总体要求的理解风险评估工作总体要求是：66四、建立风险评估基本管理制度的建议1、风险评估制度。包括信息系统在设计阶段要进行风险评估以确定系统的安全目标；在建设验收阶段要进行风险评估以确定系统的安全目标达到与否；在运行维护阶段要针对安全形势和问题定期或不定期地不断进行风险评估以确定安全措施的有效性，确保安全保障目标始终如一得以实现。2、信息安全检查制度与自评估制度。信息安全检查由信息安全主管机关或信息系统上级主管机关发起，依据国家风险评估的管理规范和技术标准进行的检查评估,通过行政手段加强信息安全的重要措施。包括安全保密检查、生产安全检查、专项检查等。自评估是信息系统运营或应用单位依靠自身力量，依据国家风险评估的管理规范和技术标准，对系统进行风险评估的工作。3、系统安全准入制度。按照谁主管谁负责、谁运营谁负责的要求，信息系统上级主管机关依据自评估或信息安全检查的结果，决定是否批准信息系统投入建设或运行。信息系统安全准入工作应纳入基础信息网络和重要信息系统安全管理体系。四、建立风险评估基本管理制度的建议1、风险评估制度。包括信息67我国风险评估的几项任务1、建立风险评估基本管理制度2、加强风险评估工作队伍的建设加强风险评估工作队伍的建设是做好风险评估工作的前提。建议在条件相对成熟的情况下，在已有基础上，整合资源，形成一支承担国家基础信息网络和重要信息系统的风险评估的骨干力量，负责国家基础信息网络和重要信息系统风险评估工作。3、提出信息安全等级保护和风险评估相关联的指导原则针对不同的信息系统实施信息安全等级保护的重要原则，要针对不同信息安全等级的信息系统，提出进行风险评估工作所遵循的相应评估准则、工作模式和工作流程，作为各部门、各单位安全风险评估指南的补充，同时丰富和完善对不同类型、不同等级的信息系统实施信息安全等级保护的具体内容。我国风险评估的几项任务1、建立风险评估基本管理制度68落实风险评估建设的相关措施1、加强法规建设和标准化工作按照我国信息化发展需求，逐步完善我国风险评估相关的法律法规体系，形成和完善满足我国信息化建设需要的风险评估标准体系，规范我国风险评估执法主体行为，实现管理法制化和规范化。2、保证风险评估工作必要的经费通过国家财政正式立项，对国家基础网络和重要信息系统风险评估工作、国家安全风险评估试点示范项目、相关法规和标准研究和相关基础研究与人才培训等项目给予资金支持，保证配套经费的落实。3、统筹建设国家风险评估的基础设施和基础环境统筹建设国家基础信息网络和重要信息系统风险评估的基础设施和基础环境，将风险评估国家重点实验室的建设纳入国家信息安全保障基础设施的建设规划，构建风险分析试验环境，组织研制开发科学、实用的检查、评估工具，开展风险评估技术、理论、标准的研究;建立国家风险评估数据库，积累资料，全面提高国家风险评估水平。4、加强风险评估核心技术研究与攻关研究国家要加强风险评估核心技术研究与攻关，通过技术创新，增强风险评估核心技术的竞争力，适应时代发展的要求，力争在近几年内在核心环节有较大的突破。落实风险评估建设的相关措施1、加强法规建设和标准化工作69提纲一、信息化风险及风险管理研究二：信息安全风险评估贵在实践三、试点经验宝贵提纲一、信息化风险及风险管理研究70研究了试点工作目的试点工作的目的是:在现有管理体制下，摸索如何开展信息安全风险评估工作，检验草拟的风险评估相关标准规范的可行性与可用性，为全面推广信息安全风险评估工作和国家出台《关于信息安全风险评估工作意见》做前期准备。在试点工作中将探讨以下问题：探索风险评估管理机制的建设，研究如何落实中办发27号文件“谁主管谁负责谁运营谁负责”的原则，包括信息安全风险评估的领导体制、协调机制、审查与批准、监管、督察和备案等内容；明确信息安全风险评估的角色、责任、方法、过程及结果摸索协同开展风险评估工作和信息安全等级保护工作、保密检查工作的实践经验；检验和完善信息安全风险评估管理规范与技术标准；了解信息安全检查评估和自评估模式的效果与不足；研究了试点工作目的试点工作的目的是:71明确专家组工作基本思路在2004年工作的基础上，国信办安全组决定今年正式启动风险评估试点工作,明确了专家组的角色：立足咨询服务，协助试点单位主要任务:参与讨论和完善“信息安全风险评估工作意见”

协助风险评估试点单位做好试点工作做好信息安全风险评估培训和咨询工作加紧修订和宣贯风险评估试行标准明确专家组工作基本思路在2004年工作的基础上，国信办安全组72确定选择试点单位1、条件试点单位的信息化系统已具有一定的规模，试点单位应具备自己的技术一定的、专业队伍和评估实践经验。2、范围信息化程度较高的行业部门的信息系统，如金融、税务、电力；建设发展中的电子政务重要信息系统；部分涉密信息系统；信息化程度不同的地方单位。专家组提出建议，协助国信办确定试点入选单位。确定选择试点单位1、条件73协助国信办提出试点工作阶段划分的建议专家组建议试点工作划分为以下几个阶段：1、准备阶段成立试点工作组织机构，制定试点工作规范选定试点单位2、实施阶段组织对试点单位进行评估方法和技术的培训；试点单位进行评估，并向国信办提交工作报告；组织交流和研讨，小结试点单位评估经验，提出整改建议3、总结阶段协助国信办提出试点工作阶段划分的建议专家组建议试点工作划分为74积极参与了试点工作协助修订《关于开展信息安全风险评估工作的意见》，提供相关的咨询和技术支持。参与试点的相关咨询工作1、准备阶段：组织八个试点单位的相关人员进行培训，明确风险评估流程和风险评估准备阶段的任务，协助试点单位制定其风险评估实施方案。标准培训试点方案编制的培训2、实施阶段：调研试点方案实施情况，了解试点单位对评估及管理的流程、方法、工具的使用存在的问题，充实和完善标准。选择重点单位进行调研，并对关键阶段进行蹲点，以切实了解单位试点工作过程中存在的问题，为两个标准的完善提供实践素材；进行试点中期总结，为指导意见提供阶段性素材；根据试点单位需求，进行有针对性的培训和咨询，协助完成试点工作积极参与了试点工作协助修订《关于开展信息安全风险评估工作的意75积极参与了试点工作（续）总结阶段：协助国信办汇总试点工作情况，总结修改意见，并完善标准。在各试点单位正式总结之前，召开专家组评审会；为国信办试点工作总结提供基础素材。 标准的完善 充实和完善《信息安全风险评估指南》和《信息安全风险管理指南》，通过试点工作提出两个标准的修改意见。同时进行与标准相关的配套理论、方法和规范的研究。积极参与了试点工作（续）总结阶段：协助国信办汇总试点工作情况76试点工作与标准验证试点工作对去年国信办组织制定的两项试行标准进行了验证，提出了修订建议绝大多数试点单位大都参照了去年国信办和国家安标委组织编写的《信息安全风险评估指南》及《信息安全风险管理指南》。试点单位大都结合自身的具体情况，选择了相应的评估方法和适当的安全控制措施及管理流程，实践经验证明各试点单位评估基于的基本原则和核心方法与试行标准指南大体吻合一致。试点工作与标准验证试点工作对去年国信办组织制定的两项试行标准77收获和体会提高了对风险评估工作的认识和理解—科学方法、长效机制为国信办风险评估工作文件起草积累了素材检验了标准，两项试行标准得到了肯定初步规范了评估内容，演练了评估的实施流程试行了部分评估技术方法，重视了评估的科学性评估方法的百花齐放和创新性体现了创新，积累了成果，培训了人才收获和体会提高了对风险评估工作的认识和理解78试点工作技术上特点计划比较周密注意控制了评估自身的风险注意遵循和验证标准讨论稿及时总结经验和问题始终重视人才培养在技术上通过评估方法的多样化，进行