风险管理与信息安全风险评估

风险管理与信息平安风险评估国家信息中心2024.12

来自....中国最大的资料库下载

提纲一：信息化风险及风险管理研究二：信息平安风险评估贵在实践三、试点经验珍贵来自....中国最大的资料库下载

一：信息化风险及风险管理研究随着信息化的开展，信息化的风险与风险管理问题已经成为各个国家、国际组织所普遍关注的问题。信息化的风险管理，其中信息平安风险和保障网络空间的平安已经成为关系信息化能否健康开展的重大问题。来自....中国最大的资料库下载

一、信息化风险的定义风险指行动或者事件的结果的不确定性〔uncertaintyofoutcome〕。信息化的风险被界定为信息化可能或者实际带来的消极威胁。风险管理泛指评估风险、确认风险、回应风险的过程。来自....中国最大的资料库下载

二、信息化风险的主要特征

全球性传染性复杂性隐蔽性来自....中国最大的资料库下载

三、信息化风险的内在原因

根本原因在于内因，由信息化自身的特点所决定第一，信息化的无疆界特征；第二，信息化的低本钱特征；第三，信息化的开放性特征；第四，信息化的匿名性特征。来自....中国最大的资料库下载

第一，自然灾害第二，误操作和平安生产事故；第三，病毒、蠕虫以及网络攻击；第四，由于信任体系不完善，借助信息化手段进行欺诈；第五，因内部因素而造成的信息、数据的修改和丧失和内部泄密；；第六，因外部因素造成信息、数据的泄露、篡改和丧失；第七，平安防范措施不到位的高端技术。四、外部原因来自....中国最大的资料库下载

五、我国信息平安风险的生成机理第一，战略能力缺乏，规划不明确。〔1〕缺乏工程的建设战略〔2〕缺乏工程的中长期开展规划〔3〕缺乏明确工程的开展步骤〔4〕缺乏工程的阶段性绩效标准来自....中国最大的资料库下载

第二，领导与组织能力不到位，统筹协调不力。〔1〕领导对于风险管理的重视缺乏，无视电子化政府工程的高风险等具体问题；〔2〕行政改革与创新的方向性错误；〔3〕组织信息化目标的错误设定，片面追求上网，无视效劳质量；〔4〕跨部门之信息化进程的协调问题；〔5〕重复建设问题；〔6〕信息化工程未能及时完成，预算超支问题；〔7〕信息孤岛问题；〔8〕工程难以有效评估或评测的问题。来自....中国最大的资料库下载

第三，投资管理的能力差，工程管理体系不成熟。〔1〕对工程投资管理的理念认识和关注缺乏；〔2〕工程的投资根底〔投资负责机构、提出候选工程并予以筛选、对投资工程的选定与实施过程的监督、捕获投资信息等〕建设不完善；〔3〕在工程的投资过程〔包括相关筛选、控制和评估标准确实立，对实施后的复查等〕机制不健全；〔4〕在投资的过程管理中，存在薄弱环节，无法做到全流程的“无缝隙管理〞；〔5〕在优化投资过程方面，往往无法实现工程投资的战略性成果。来自....中国最大的资料库下载

第四，资金的预算和管理能力差。〔1〕对信息平安投资的风险未做预测，或预测不准；〔2〕资金支持缺乏；〔3〕无法寻求足够的社会资金来源；〔4〕信息平安投资的回报难以监控和评估。来自....中国最大的资料库下载

第五，人力资源缺乏。〔1〕缺乏信息平安风险管理的人员和能力；〔2〕缺乏具备充足信息平安管理资格的人员；〔3〕培训跟不上工程的进程，培训效果差；〔4〕工程核心人员的流动问题。来自....中国最大的资料库下载

第六，法律与政策缺乏。我国目前的信息平安的法制工作开展较为缓慢；首先，缺乏对信息化的全面立法支持，缺乏保障政府信息化的根本法律，如政府信息公开法、政府信息资源管理法。其次，缺乏对信息平安风险的制度性标准，如信息风险手册等。再次，原有的一些法律已不能适应信息化时代的要求，如著作权法、专利法、刑法等。来自....中国最大的资料库下载

第七，保护隐私，数据平安，技术管理方面的缺乏。在泄露隐私方面：〔1〕不当授权他人或机构滥用用户信息；〔2〕未遵循法律或法规制定相应的隐私和记录管理政策。在影响数据平安方面：〔1〕工作人员对平安因素和措施缺乏足够认知；〔2〕难以解决相关平安问题；〔3〕病毒或黑客攻击导致系统瘫痪；〔4〕由于一个主要系统瘫痪导致其它系统的失灵。来自....中国最大的资料库下载

六、信息平安风险的应对战略和政策〔一〕明确政府的角色，强化信息平安风险管理的责任〔二〕建立和开展信息平安风险管理的文化〔三〕做好国家信息平安的薄弱环节识别，减少信息化系统中的问题〔四〕通过有效的教育和培训提高和强化整个社会的信息平安风险管理和平安意识与能力〔五〕强化信息化相关的立法，建立有效的管制机制，以防止和化解信息平安风险来自....中国最大的资料库下载

〔六〕建立健全国家信息化的技术平安平台，通过平安技术的开展保障信息化系统的平安〔七〕采取有效的措施，确保敏感性信息和国家重要信息根底设施的平安〔八〕保障政府系统的平安〔九〕建立国家网络空间平安的危机管理系统〔十〕通过信息的共享和广泛的合作，化解信息平安风险来自....中国最大的资料库下载

提纲一：信息化风险及风险管理研究二：信息平安风险评估贵在实践三、试点经验珍贵来自....中国最大的资料库下载

党中央、国务院高度重视网络与信息平安工作中办发[2024]27号文件提出了加强信息平安保障工作的总体要求和主要原那么，并在工作部署中，将信息平安风险评估作为一项重要的举措;2024年1月9日，黄菊同志在关于“全面加强信息平安保障工作，促进信息化健康开展〞的讲话中，提出了“抓紧研究制定根底信息网络和重要信息系统风险评估的管理标准，并组织力量提供技术支持。根据风险评估结果，进行相应等级的平安建设和管理，特别是对涉及国家机密的信息系统，要按照党和国家有关保密规定进行保护。对涉及国计民生的重要信息系统，要进行必要的信息平安检查。〞的明确要求来自....中国最大的资料库下载

深刻认识开展信息平安风险评估工作的重要意义如何确切掌握网络和信息系统的平安程度、分析平安威胁来自何方、平安风险有多大，加强信息平安保障工作应采取哪些措施，要投入多少人力、财力和物力；确定已采取的信息平安措施是否有效以及提出按照相应信息平安等级进行平安建设和管理的依据等一系列具体问题。风险评估是解决上述问题的重要方法和根底性工作。系统的平安性可通过风险大小来度量,科学地分析系统在保密性、完整性、可用性等方面所面临的威胁，发现系统平安的主要问题和矛盾，就能够在平安风险的预防、减少、转移、补偿和分散等之间做出决策，最大限度地控制和化解平安威胁。网络信息系统的平安建设都要在风险评估根底上,成为信息化建设的内在要求，系统主管部门和运营、应用单位必须做好本系统信息平安风险评估工作。来自....中国最大的资料库下载

我对风险评估工作指导思想和原那么的理解我国风险评估工作应立足国情，以我为主，突出重点、整合资源，逐步建成有中国特色的风险评估体系，为全面提高国家的信息平安保障能力而效劳。风险评估是信息系统平安管理的根底工作和重要环节。我国根底信息网络和国家电子政务系统、主要新闻媒体和一批涉及能源、交通、通信、战略物资等国家重要信息系统，风险评估必须遵守以下原那么：国家指导、政府监管，统一标准、分类指导，突出重点、兼顾一般，军民结合、分工协作。目前我国风险评估实施重点是根底网络和重要信息系统。同时兼顾其它信息系统，加强指导，确保各类网络和信息系统的风险评估工作能够健康、有序进行。来自....中国最大的资料库下载

对风险评估总体要求的理解风险评估工作总体要求是：充分发挥和调动各方面力量，运用风险管理的思想，通过风险评估，控制和降低风险，全面提高信息系统防护能力，满足信息平安需求，逐步建成有中国特色的风险评估体系。评估我国根底信息网络和重要信息系统，掌握我国根底信息网络和重要信息系统的平安状态，及时采取适宜的应对措施，保障它们的正常运行。通过对国家级重点电子政务系统、电子商务系统以及重要信息根底设施的风险评估工作，从中摸索经验，不断探索，逐步完善我国风险评估工作的管理机制。来自....中国最大的资料库下载

四、建立风险评估根本管理制度的建议1、风险评估制度。包括信息系统在设计阶段要进行风险评估以确定系统的平安目标；在建设验收阶段要进行风险评估以确定系统的平安目标到达与否；在运行维护阶段要针对平安形势和问题定期或不定期地不断进行风险评估以确定平安措施的有效性，确保平安保障目标始终如一得以实现。2、信息平安检查制度与自评估制度。信息平安检查由信息平安主管机关或信息系统上级主管机关发起，依据国家风险评估的管理标准和技术标准进行的检查评估,通过行政手段加强信息平安的重要措施。包括平安保密检查、生产平安检查、专项检查等。自评估是信息系统运营或应用单位依靠自身力量，依据国家风险评估的管理标准和技术标准，对系统进行风险评估的工作。3、系统平安准入制度。按照谁主管谁负责、谁运营谁负责的要求，信息系统上级主管机关依据自评估或信息平安检查的结果，决定是否批准信息系统投入建设或运行。信息系统平安准入工作应纳入根底信息网络和重要信息系统平安管理体系。来自....中国最大的资料库下载

我国风险评估的几项任务1、建立风险评估根本管理制度2、加强风险评估工作队伍的建设加强风险评估工作队伍的建设是做好风险评估工作的前提。建议在条件相对成熟的情况下，在已有根底上，整合资源，形成一支承担国家根底信息网络和重要信息系统的风险评估的骨干力量，负责国家根底信息网络和重要信息系统风险评估工作。3、提出信息平安等级保护和风险评估相关联的指导原那么针对不同的信息系统实施信息平安等级保护的重要原那么，要针对不同信息平安等级的信息系统，提出进行风险评估工作所遵循的相应评估准那么、工作模式和工作流程，作为各部门、各单位平安风险评估指南的补充，同时丰富和完善对不同类型、不同等级的信息系统实施信息平安等级保护的具体内容。来自....中国最大的资料库下载

落实风险评估建设的相关措施1、加强法规建设和标准化工作按照我国信息化开展需求，逐步完善我国风险评估相关的法律法规体系，形成和完善满足我国信息化建设需要的风险评估标准体系，标准我国风险评估执法主体行为，实现管理法制化和标准化。2、保证风险评估工作必要的经费通过国家财政正式立项，对国家根底网络和重要信息系统风险评估工作、国家平安风险评估试点示范工程、相关法规和标准研究和相关根底研究与人才培训等工程给予资金支持，保证配套经费的落实。3、统筹建设国家风险评估的根底设施和根底环境统筹建设国家根底信息网络和重要信息系统风险评估的根底设施和根底环境，将风险评估国家重点实验室的建设纳入国家信息平安保障根底设施的建设规划，构建风险分析试验环境，组织研制开发科学、实用的检查、评估工具，开展风险评估技术、理论、标准的研究;建立国家风险评估数据库，积累资料，全面提高国家风险评估水平。4、加强风险评估核心技术研究与攻关研究国家要加强风险评估核心技术研究与攻关，通过技术创新，增强风险评估核心技术的竞争力，适应时代开展的要求，力争在近几年内在核心环节有较大的突破。来自....中国最大的资料库下载

提纲一、信息化风险及风险管理研究二：信息平安风险评估贵在实践三、试点经验珍贵来自....中国最大的资料库下载

研究了试点工作目的试点工作的目的是:在现有管理体制下，摸索如何开展信息平安风险评估工作，检验草拟的风险评估相关标准标准的可行性与可用性，为全面推广信息平安风险评估工作和国家出台?关于信息平安风险评估工作意见?做前期准备。在试点工作中将探讨以下问题：探索风险评估管理机制的建设，研究如何落实中办发27号文件“谁主管谁负责谁运营谁负责〞的原那么，包括信息平安风险评估的领导体制、协调机制、审查与批准、监管、督察和备案等内容；明确信息平安风险评估的角色、责任、方法、过程及结果摸索协同开展风险评估工作和信息平安等级保护工作、保密检查工作的实践经验；检验和完善信息平安风险评估管理标准与技术标准；了解信息平安检查评估和自评估模式的效果与缺乏；来自....中国最大的资料库下载

明确专家组工作根本思路在2024年工作的根底上，国信办平安组决定今年正式启动风险评估试点工作,明确了专家组的角色：立足咨询效劳，协助试点单位主要任务:参与讨论和完善“信息平安风险评估工作意见〞协助风险评估试点单位做好试点工作做好信息平安风险评估培训和咨询工作加紧修订和宣贯风险评估试行标准来自....中国最大的资料库下载

确定选择试点单位1、条件试点单位的信息化系统已具有一定的规模，试点单位应具备自己的技术一定的、专业队伍和评估实践经验。2、范围信息化程度较高的行业部门的信息系统，如金融、税务、电力；建设开展中的电子政务重要信息系统；局部涉密信息系统；信息化程度不同的地方单位。专家组提出建议，协助国信办确定试点入选单位。来自....中国最大的资料库下载

协助国信办提出试点工作阶段划分的建议专家组建议试点工作划分为以下几个阶段：1、准备阶段成立试点工作组织机构，制定试点工作标准选定试点单位2、实施阶段组织对试点单位进行评估方法和技术的培训；试点单位进行评估，并向国信办提交工作报告；组织交流和研讨，小结试点单位评估经验，提出整改建议3、总结阶段来自....中国最大的资料库下载

积极参与了试点工作协助修订?关于开展信息平安风险评估工作的意见?，提供相关的咨询和技术支持。参与试点的相关咨询工作1、准备阶段：组织八个试点单位的相关人员进行培训，明确风险评估流程和风险评估准备阶段的任务，协助试点单位制定其风险评估实施方案。标准培训试点方案编制的培训2、实施阶段：调研试点方案实施情况，了解试点单位对评估及管理的流程、方法、工具的使用存在的问题，充实和完善标准。选择重点单位进行调研，并对关键阶段进行蹲点，以切实了解单位试点工作过程中存在的问题，为两个标准的完善提供实践素材；进行试点中期总结，为指导意见提供阶段性素材；根据试点单位需求，进行有针对性的培训和咨询，协助完成试点工作来自....中国最大的资料库下载

积极参与了试点工作〔续〕总结阶段：协助国信办汇总试点工作情况，总结修改意见，并完善标准。在各试点单位正式总结之前，召开专家组评审会；为国信办试点工作总结提供根底素材。 标准的完善 充实和完善?信息平安风险评估指南?和?信息平安风险管理指南?，通过试点工作提出两个标准的修改意见。同时进行与标准相关的配套理论、方法和标准的研究。来自....中国最大的资料库下载

试点工作与标准验证试点工作对去年国信办组织制定的两项试行标准进行了验证，提出了修订建议绝大多数试点单位大都参照了去年国信办和国家安标委组织编写的?信息平安风险评估指南?及?信息平安风险管理指南?。试点单位大都结合自身的具体情况，选择了相应的评估方法和适当的平安控制措施及管理流程，实践经验证明各试点单位评估基于的根本原那么和核心方法与试行标准指南大体吻合一致。来自....中国最大的资料库下载

收获和体会提高了对风险评估工作的认识和理解—科学方法、长效机制为国信办风险评估工作文件起草积累了素材检验了标准，两项试行标准得到了肯定初步标准了评估内容，演练了评估的实施流程试行了局部评估技术方法，重视了评估的科学性评估方法的百花齐放和创新性表达了创新，积累了成果，培训了人才来自....中国最大的资料库下载

试点工作技术上特点方案比较周密注意控制了评估自身的风险注意遵循和验证标准讨论稿及时总结经验和问题始终重视人才培养在技术上通过评估方法的多样化，进行了有益的探索来自....中国最大的资料库下载

典型方法之一：综合风险计算法标准评估过程摸清家底：划分资产类型，建立重要资产清单，识别资产重要性分析威胁和分析脆弱性两种途径按层次分析脆弱性判定平安时间及其影响计算威胁风险值制定风险控制措施来自....中国最大的资料库下载

典型方法之四：面向关键信息资产的评估方法〔续〕威胁路径分析法面向关键信息资产的层次分析法利用等级保护支撑平台的评估方法

来自....中国最大的资料库下载

试点工作出现了一批成果上海市的风险评估管理软件评估模型和方法的创新与探索北京市利用了已有的工具平台，形成了评估辅助工具平台黑龙江提出了基于模糊综合判定理论的风险评估判定方法既有量化的探索，也有定性为主的探索云南提出了增加业务流分析和已有控制措施的有效性识别或判定来自....中国最大的资料库下载

试点工作出现了一批成果〔续〕国家税务总局提出了差距分析法，细化了流程国电公司提出了符合行业特点的方法，初步形成了行业平安评估方法论，涵盖了平安定义、平安评测和风险分析的全过程来自....中国最大的资料库下载

试点工作发现的问题技术评测工具，缺乏统一的要求和资质认定模拟环境或联机旁路测试环境的不完备和缺乏测试深度的不平衡管理标准标准试行标准指南总体得到肯定，但尚需进一步完善来自....中国最大的资料库下载

下一步建议认真总结经验统一规划、建立制度。制定国家根底网络和重要信息系统的风险评估总体规划以及“十一五〞期间的工作方案。积极推进风险评估根本管理制度的建立；应尽快就国家根底信息网络和重要信息系统风险评估工作所涉及的领导体制、协调机制、认证与认可、监管和督察、评估时间、评估对象、评估范围、评估方式、评估人员资质、评估结果发布和备案等内容，进一步开展研究，形成风险评估工作管