信息安全风险评估调查报告企业风险管理经典

信息平安风险评估国家信息中心信息平安研究与效劳中心吴亚非随着国民经济和社会信息化进程的全面加快，网络和信息系统的根底性、全局性作用日益增强,国民经济和社会开展对根底信息网络和重要信息系统的依赖性越来越大，由此而产生的信息平安问题对国家平安的影响日益增加、日益突出。网络与信息平安已上升为一个事关国家政治稳定、社会安定、经济有序运行和社会主义精神文明建设的全局性问题。党中央、国务院高度重视网络与信息平安工作中办发[2003]27号文件提出了加强信息平安保障工作的总体要求和主要原那么，并在工作部署中，将信息平安风险评估作为一项重要的举措;2004年1月9日，黄菊同志在关于“全面加强信息平安保障工作，促进信息化健康开展〞的讲话中，提出了“抓紧研究制定根底信息网络和重要信息系统风险评估的管理标准，并组织力量提供技术支持。根据风险评估结果，进行相应等级的平安建设和管理，特别是对涉及国家机密的信息系统，要按照党和国家有关保密规定进行保护。对涉及国计民生的重要信息系统，要进行必要的信息平安检查。〞的明确要求党中央、国务院高度重视网络与信息平安工作党的十六届四中全会，更是把信息平安和政治平安、经济平安、文化平安放在同等重要的位置并列提出，这在我们党的历史上是前所未有的。开展信息平安风险评估工作的重要意义如何确切掌握网络和信息系统的平安程度、分析平安威胁来自何方、平安风险有多大，加强信息平安保障工作应采取哪些措施，要投入多少人力、财力和物力；确定已采取的信息平安措施是否有效以及提出按照相应信息平安等级进行平安建设和管理的依据等一系列具体问题。风险评估是解决上述问题的重要方法和根底性工作。系统的平安性可通过风险大小来度量,科学地分析系统在保密性、完整性、可用性等方面所面临的威胁，发现系统平安的主要问题和矛盾，就能够在平安风险的预防、减少、转移、补偿和分散等之间做出决策，最大限度地控制和化解平安威胁。开展信息平安风险评估工作的概况⑴调查研究阶段⑵标准草案编制阶段⑶全国试点工作阶段调查研究阶段2003年7月组建成立“信息平安风险评估课题组〞，对信息平安风险评估工作的现状进行全面深入了解，提出我国开展信息平安风险评估的对策和方法，为下一步信息平安的建设和管理做准备。2003年8月至12月,课题组先后对四个地区(北京、广州、深圳和上海)，十几个行业的50多家单位进行了深入细致的调查与研究，召开了9次座谈会，经过四个多月的努力,完成了约十万字的?信息平安风险评估调查报告?、?信息平安风险评估研究报告?文稿；其中?信息平安风险评估研究报告?列为2004年1月全国信息平安保障会议的传阅文件。?信息平安风险评估调查报告?认为①各单位对信息平安风险评估的重视程度与信息化程度成正比关系?信息平安风险评估调查报告?认为②国内现阶段信息平安风险评估状况国内部门、地区和单位现阶段风险评估状况可分为以下几类：一是有认识、有行动、有措施、有效果；二是有认识、有行动、但措施不当；三是有认识、无行动、无措施；四是无认识、无行动、无措施。部门、地区和单位开展不平衡。行业单位重视风险评估的一个重要原因是“平安事件驱动〞。?信息平安风险评估调查报告?认为③信息平安风险评估不标准。目前国内现在还没有一个典型意义上、系统、完整的信息平安风险评估。有的风险评估往往只给出一个笼统的报告；有的只是用技术工具测一测，没有系统标准评论，而且对于风险评估需要分级分类的观点也未达成共识；由于没有评估标准,对同一个系统评估,不同评估单位得出不同的评估结果。?信息平安风险评估调查报告?认为④存在的主要问题1、无组织管理机构2、法制建设欠缺3、管理标准与技术标准滞后4、风险评估人才匮乏4、风险评估人才匮乏?信息平安风险评估研究报告?指出︰1、信息系统的平安性可以通过风险的大小来度量,通过科学地分析系统在保密性、完整性、可用性等方面所面临的威胁，发现系统平安的主要问题和矛盾，就能够在平安风险的预防、减少、转移、补偿和分散等之间做出决策，最大限度地控制和化解平安威胁。?信息平安风险评估研究报告?指出︰2、信息平安风险评估是解决如何确切掌握网络和信息系统的平安程度、分析平安威胁来自何方、平安风险有多大，加强信息平安保障工作应采取哪些措施，要投入多少人力、财力和物力,确定已采取的信息平安措施是否有效以及提出按照相应信息平安等级进行平安建设和管理的依据等一系列具体问题的重要方法和根底性工作。?信息平安风险评估研究报告?指出︰3、信息平安风险评估工作那么是指依据国家有关信息平安技术标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等平安属性进行科学评价的过程，它要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响，并根据平安事件发生的可能性和负面影响的程度来识别信息系统的平安风险。?信息平安风险评估研究报告?提出︰1、风险评估是信息系统平安的根底性工作信息平安中的风险评估是传统的风险理论和方法在信息系统中的运用，是科学地分析和理解信息与信息系统在保密性、完整性、可用性等方面所面临的风险，并在风险的减少、转移和躲避等风险控制方法之间做出决策的过程。风险评估将导出信息系统的平安需求，因此，所有信息平安建设都应该以风险评估为起点。信息平安建设的最终目的是效劳于信息化，但其直接目的是为了控制平安风险。?信息平安风险评估研究报告?提出︰2、风险评估是分级防护和突出重点的具体表达信息平安建设必须从实际出发，坚持分级防护、突出重点。风险评估正是这一要求在实际工作中的具体表达。从理论上讲，不存在绝对的平安，实践中也不可能做到绝对平安，风险总是客观存在的。平安是风险与本钱的综合平衡。盲目追求平安和完全回避风险是不现实的，也不是分级防护原那么所要求的。要从实际出发，坚持分级防护、突出重点，就必须正确地评估风险，以便采取有效、科学、客观和经济的措施。?信息平安风险评估研究报告?认为︰1、加强风险评估工作是当前信息平安工作的客观需要和紧迫需求。2、风险评估工作当前是要加快法制建设和技术标准建设；3、加强风险评估核心技术研究与攻关，重点开展具有自主知识产权的相关技术和产品，为国家根底信息网络和重要信息系统的风险评估提供自主可控的工具、模型与实用技术；4、加强信息平安风险意识的宣传教育，普及信息平安风险评估知识；加快培养信息平安风险评估的专门人才。?信息平安风险评估研究报告?建议︰1、信息平安风险评估的总体目标是：效劳于国家信息化开展，促进信息平安保障体系的建设，提高信息系统的平安保护能力。?信息平安风险评估研究报告?建议︰2、信息平安风险评估的目的是：认清信息平安环境、信息平安状况；有助于达成共识，明确责任；采取或完善平安保障措施，使其更加经济有效，并使信息平安策略保持一致性和持续性。?信息平安风险评估研究报告?建议︰3、信息平安风险评估的形式是：自评估和平安检查评估。平安检查评估由信息平安主管机关或信息系统上级主管机关发起，依据国家风险评估的管理标准和技术标准进行的检查评估,通过行政手段加强信息平安的重要措施。包括平安保密检查、生产平安检查、专项检查等。自评估是信息系统运营或应用单位依靠自身力量或委托有资质的评估机构，依据国家风险评估的管理标准和技术标准，对自管的信息系统进行风险评估。?信息平安风险评估研究报告?建议︰4、信息平安风险评估的主要环节是：信息系统在设计阶段进行风险评估以确定系统的平安目标；在建设验收阶段进行风险评估以确定系统的平安目标到达与否；在运行维护阶段要针对平安形势和问题,定期或不定期地不断进行风险评估以确定平安措施的有效性，确保平安保障目标始终如一得以实现。?信息平安风险评估研究报告?建议︰5、信息平安风险评估的近期工作是：贯彻落实27号文件；建立健全和完善信息系统平安风险评估的工作机制；统筹建设信息平安风险评估的根底设施和根底环境。启动评估工作流程、工作标准标准的研究与制定；推进根底信息网络和重要信息系统的风险评估试点示范工作；加强宣传教育，提高风险意识。⑵标准草案编制阶段根据?信息平安风险评估研究报告?近期工作的建议,2004年三月下旬课题组专家经过充分的讨论与分析，报国务院信息办平安组批准,开展了?信息平安风险评估指南?和?信息平安风险管理指南?二个标准草案的制定。国家信息中心信息平安研究与效劳中心在课题组专家的指导下，组织了近二十家有实际工作经验的企事业单位约四十多人，开了二十屡次工作会议，进行了信息平安风险评估标准标准草案的制定工作；到九月下旬,完成?信息平安风险评估指南?和?信息平安风险管理指南?二个标准草案的初稿。2004年全国信息平安标准化技术委员会将?信息平安风险评估指南?列入2005年度国家信息平安标准制定工作方案中,将?信息平安风险管理指南?列入国家信息平安标准研究工作规划中。?信息平安风险评估指南??信息平安风险评估指南?规定了信息平安风险评估的工作流程、评估内容、评估方法和风险判断准那么，适用于信息系统的使用单位进行自我风险评估，以及风险评估机构对信息系统进行独立的风险评估。主要用以识别信息系统中存在的风险；为确立信息系统平安等级提供参考；指导信息系统的平安管理；为执法部门监督提供参考；信息系统建设完成后，验收时用于参考；为信息系统业务发生变更时提供平安参考。?信息平安风险评估指南??信息平安风险评估指南?分为两个局部：第一局部：主体局部。主要介绍风险评估的定义、风险评估的模型以及风险评估的实施过程。对资产、威胁和脆弱性的识别进行了详细的描述，同时描述了风险评估在信息系统生命周期中的作用，以及风险评估的不同形式。指南将原那么性与可操作性进行有机的结合，既为风险评估的实施者、信息平安管理人员以及相关人员提供风险评估的依据，同时也力求防止评估过程的僵化。第二局部：附录局部。包括信息平安风险评估的方法、工具介绍和一个实施案例。目的是使用户了解到风险评估方法的多样性和灵活性。?信息平安风险管理指南??信息平安风险管理指南?定义了信息平安风险管理的内容和过程。风险管理的目的和意义是风险管理可使信息系统的主管者和运营者在平安措施的本钱与资产价值之间寻求平衡，并最终通过对支持其使命的信息系统及数据进行保护而提高其使命能力。风险管理由三个局部组成：风险评估、风险减缓以及基于风险的决策。风险评估过程将全面评估信息系统的资产、威胁、脆弱性以及现有的平安措施，分析平安事件发生的可能性以及可能的损失，从而确定信息系统的风险，并判断风险的优先级，建议处理风险的措施。基于风险评估的结果，风险处理过程将考察信息平安措施的本钱，选择适宜的方法处理风险，将风险控制到可接受的程度。基于风险的决策是风险管理的最后过程，旨在由信息系统的主管者或运营者判断剩余风险是否处在可接受的水平之内。基于这一判断，主管者或运营者将做出决策，决定是否允许信息系统运行。⑶全国试点工作阶段2005年春节前夕，国务院信息办平安组决定在前两年课题组风险评估研究工作的根底上，由国务院信息办组织,在北京市、上海市、黑龙江省、云南省、人民银行、国家税务总局、国家电力总公司和国家信息中心八个部门开展风险评估试点工作，目的是在现有根底信息网络和重要信息系统的管理体制下，探索如何推进开展信息平安风险评估工作，检验草拟的国家标准草案的可行性与可用性，为推广信息平安风险评估工作和国家出台相关政策文件做前期准备。⑶全国试点工作阶段在试点工作中将解决和搞清楚以下问题：1、探索信息平安风险评估管理机制的建设，研究如何落实中办发27号文件“谁主管谁负责谁运营谁负责〞的原那么，包括信息平安风险评估的领导体制、协调机制、审查与批准、监管、督察和备案等内容；明确信息平安风险评估的角色、责任、方法、过程及结果2、摸索协同开展风险评估工作和信息平安等级保护工作、保密检查工作的实践经验；3、完善信息平安风险评估管理标准与技术标准；4、了解信息平安检查评估和自评估模式的效果与缺乏；5、完善国家相关政策文件。⑶全国试点