资源描述
路漫漫其悠远路漫漫其悠远少壮不努力,老大徒悲伤少壮不努力,老大徒悲伤少壮不努力,老大徒悲伤少壮不努力,老大徒悲伤2024/7/28风险管理与信息安全风风险管理与信息安全风险评估险评估路漫漫其悠远路漫漫其悠远锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂 提提 纲纲一:信息化风险及风险管理研究一:信息化风险及风险管理研究 二:信息安全风险评估贵在实践二:信息安全风险评估贵在实践 三、试点经验宝贵三、试点经验宝贵路漫漫其悠远路漫漫其悠远锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂一:信息化风险及风险管理研究一:信息化风险及风险管理研究o随着信息化的发展,信息化的风险与随着信息化的发展,信息化的风险与风险管理问题已经成为各个国家、国风险管理问题已经成为各个国家、国际组织所普遍关注的问题。际组织所普遍关注的问题。o信息化的风险管理,其中信息安全风信息化的风险管理,其中信息安全风险和保障网络空间的安全已经成为关险和保障网络空间的安全已经成为关系信息化能否健康发展的重大问题。系信息化能否健康发展的重大问题。路漫漫其悠远路漫漫其悠远锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂一、信息化风险的定义一、信息化风险的定义o风险指行动或者事件的结果的不确定性风险指行动或者事件的结果的不确定性(uncertainty of outcomeuncertainty of outcome)。)。o信息化的风险被界定为信息化可能或者实信息化的风险被界定为信息化可能或者实际带来的消极威胁。际带来的消极威胁。o风险管理泛指评估风险、确认风险、回应风险管理泛指评估风险、确认风险、回应风险的过程。风险的过程。路漫漫其悠远路漫漫其悠远锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂二、信息化风险的主要特征二、信息化风险的主要特征 o全球性o传染性o复杂性o隐蔽性 路漫漫其悠远路漫漫其悠远锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂三、信息化风险的内在原因三、信息化风险的内在原因 基本原因在于内因,由信息化自身的特点所决基本原因在于内因,由信息化自身的特点所决定定o第一,信息化的无疆界特征;第一,信息化的无疆界特征;o第二,信息化的低成本特征;第二,信息化的低成本特征;o第三,信息化的开放性特征;第三,信息化的开放性特征;o第四,信息化的匿名性特征。第四,信息化的匿名性特征。路漫漫其悠远路漫漫其悠远锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂o第一,自然灾害第一,自然灾害o第二,误操作和安全生产事故;第二,误操作和安全生产事故;o第三,病毒、蠕虫以及网络攻击;第三,病毒、蠕虫以及网络攻击;o第四,由于信任体系不完善,借助信息化手段进行第四,由于信任体系不完善,借助信息化手段进行欺诈;欺诈;o第五,因内部因素而造成的信息、数据的修改和丢第五,因内部因素而造成的信息、数据的修改和丢失和内部泄密;失和内部泄密;o第六,因外部因素造成信息、数据的泄露、篡改和第六,因外部因素造成信息、数据的泄露、篡改和丢失;丢失;o第七,安全防范措施不到位的高端技术。第七,安全防范措施不到位的高端技术。四、外四、外 部部 原原 因因路漫漫其悠远路漫漫其悠远锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂五、我国信息安全风险的生成机理五、我国信息安全风险的生成机理 第一,战略能力不足,规划不明确。第一,战略能力不足,规划不明确。o(1)缺乏项目的建设战略)缺乏项目的建设战略o(2)缺乏项目的中长期发展规划)缺乏项目的中长期发展规划o(3)缺乏明确项目的发展步骤)缺乏明确项目的发展步骤o(4)缺乏项目的阶段性绩效标准)缺乏项目的阶段性绩效标准路漫漫其悠远路漫漫其悠远锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂第二,领导与组织能力不到位,统筹协调不力。第二,领导与组织能力不到位,统筹协调不力。o(1)领导对于风险管理的重视不足,忽视电子化政)领导对于风险管理的重视不足,忽视电子化政府项目的高风险等具体问题;府项目的高风险等具体问题;o(2)行政改革与创新的方向性错误;)行政改革与创新的方向性错误;o(3)组织信息化目标的错误设定,片面追求上网,)组织信息化目标的错误设定,片面追求上网,忽视服务质量;忽视服务质量;o(4)跨部门之信息化进程的协调问题;)跨部门之信息化进程的协调问题;o(5)重复建设问题)重复建设问题;o(6)信息化项目未能及时完成,预算超支问题;)信息化项目未能及时完成,预算超支问题;o(7)信息孤岛问题)信息孤岛问题;o(8)项目难以有效评估或评测的问题)项目难以有效评估或评测的问题。路漫漫其悠远路漫漫其悠远锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂第三,投资管理的能力差,项目管理体系不成熟。第三,投资管理的能力差,项目管理体系不成熟。o(1)对项目投资管理的理念认识和关注不足;)对项目投资管理的理念认识和关注不足;o(2)项目的投资基础(投资负责机构、提出候选项目并)项目的投资基础(投资负责机构、提出候选项目并予以筛选、对投资项目的选定与实施过程的监督、捕获投予以筛选、对投资项目的选定与实施过程的监督、捕获投资信息等)建设不完善;资信息等)建设不完善;o(3)在项目的投资过程(包括相关筛选、控制和评估标)在项目的投资过程(包括相关筛选、控制和评估标准的确立,对实施后的复查等)机制不健全;准的确立,对实施后的复查等)机制不健全;o(4)在投资的过程管理中,存在薄弱环节,无法做到全)在投资的过程管理中,存在薄弱环节,无法做到全流程的流程的“无缝隙管理无缝隙管理”;o(5)在优化投资过程方面,往往无法实现项目投资的战)在优化投资过程方面,往往无法实现项目投资的战略性成果。略性成果。路漫漫其悠远路漫漫其悠远锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂第四,资金的预算和管理能力差。第四,资金的预算和管理能力差。o(1)对信息安全投资的风险未做预测,或预测)对信息安全投资的风险未做预测,或预测不准;不准;o(2)资金支持不足;)资金支持不足;o(3)无法寻求足够的社会资金来源;)无法寻求足够的社会资金来源;o(4)信息安全投资的回报难以监控和评估。)信息安全投资的回报难以监控和评估。路漫漫其悠远路漫漫其悠远锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂第五,人力资源不足。第五,人力资源不足。o(1)缺乏信息安全风险管理的人员和能力;)缺乏信息安全风险管理的人员和能力;o(2)缺乏具备充足信息安全管理资格的人员;)缺乏具备充足信息安全管理资格的人员;o(3)培训跟不上项目的进程,培训效果差;)培训跟不上项目的进程,培训效果差;o(4)项目核心人员的流动问题。)项目核心人员的流动问题。路漫漫其悠远路漫漫其悠远锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂第六,法律与政策不足。第六,法律与政策不足。o我国目前的信息安全的法制工作发展较为缓慢;我国目前的信息安全的法制工作发展较为缓慢;o首先,缺乏对信息化的全面立法支持,缺乏保首先,缺乏对信息化的全面立法支持,缺乏保障政府信息化的基本法律,如政府信息公开法、障政府信息化的基本法律,如政府信息公开法、政府信息资源管理法。政府信息资源管理法。o其次,缺乏对信息安全风险的制度性规范,如其次,缺乏对信息安全风险的制度性规范,如信息风险手册等。信息风险手册等。o再次,原有的一些法律已不能适应信息化时代再次,原有的一些法律已不能适应信息化时代的要求,如著作权法、专利法、刑法等。的要求,如著作权法、专利法、刑法等。路漫漫其悠远路漫漫其悠远锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂o第七,保护隐私,数据安全,技术管理方面的不足。第七,保护隐私,数据安全,技术管理方面的不足。在泄露隐私方面:在泄露隐私方面:o(1)不当授权他人或机构滥用用户信息;)不当授权他人或机构滥用用户信息;o(2)未遵循法律或法规制定相应的隐私和记录管理政)未遵循法律或法规制定相应的隐私和记录管理政策。策。在影响数据安全方面:在影响数据安全方面:o(1)工作人员对安全因素和措施缺乏足够认知;)工作人员对安全因素和措施缺乏足够认知;o(2)难以解决相关安全问题;)难以解决相关安全问题;o(3)病毒或黑客攻击导致系统瘫痪;)病毒或黑客攻击导致系统瘫痪;o(4)由于一个主要系统瘫痪导致其它系统的失灵。)由于一个主要系统瘫痪导致其它系统的失灵。路漫漫其悠远路漫漫其悠远锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂六、信息安全风险的应对战略和政策六、信息安全风险的应对战略和政策(一)明确政府的角色,强化信息安全风险管理(一)明确政府的角色,强化信息安全风险管理的责任的责任(二)建立和发展信息安全风险管理的文化(二)建立和发展信息安全风险管理的文化(三)做好国家信息安全的薄弱环节识别,减少(三)做好国家信息安全的薄弱环节识别,减少信息化系统中的问题信息化系统中的问题(四)通过有效的教育和培训提高和强化整个社(四)通过有效的教育和培训提高和强化整个社会的信息安全风险管理和安全意识与能力会的信息安全风险管理和安全意识与能力(五)强化信息化相关的立法,建立有效的管制(五)强化信息化相关的立法,建立有效的管制机制,以防止和化解信息安全风险机制,以防止和化解信息安全风险路漫漫其悠远路漫漫其悠远锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂(六)建立健全国家信息化的技术安全平台,通过(六)建立健全国家信息化的技术安全平台,通过安全技术的发展保障信息化系统的安全安全技术的发展保障信息化系统的安全(七)采取有效的措施,确保敏感性信息和国家重(七)采取有效的措施,确保敏感性信息和国家重要信息基础设施的安全要信息基础设施的安全(八)保障政府系统的安全(八)保障政府系统的安全(九)建立国家网络空间安全的危机管理系统(九)建立国家网络空间安全的危机管理系统(十)通过信息的共享和广泛的合作,化解信息安(十)通过信息的共享和广泛的合作,化解信息安全风险全风险路漫漫其悠远路漫漫其悠远锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂 提提 纲纲一:信息化风险及风险管理研究一:信息化风险及风险管理研究二:信息安全风险评估 贵在实践三、试点经验宝贵三、试点经验宝贵路漫漫其悠远路漫漫其悠远锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂党中央、国务院高度重视网络与信息安全党中央、国务院高度重视网络与信息安全工作工作o中办发200327号文件提出了加强信息安全保障工作的总体要求和主要原则,并在工作部署中,将信息安全风险评估作为一项重要的举措;o2004年1月9日,黄菊同志在关于“全面加强信息安全面加强信息安全保障工作,促进信息化健康发展全保障工作,促进信息化健康发展”的讲话中,提出了“抓紧研究制定基础信息网络和重要信息系统抓紧研究制定基础信息网络和重要信息系统风险评估的管理规范,并组织力量提供技术支持。风险评估的管理规范,并组织力量提供技术支持。根据风险评估结果,进行相应等级的安全建设和管根据风险评估结果,进行相应等级的安全建设和管理,特别是对涉及国家机密的信息系统,要按照党理,特别是对涉及国家机密的信息系统,要按照党和国家有关保密规定进行保护。对涉及国计民生的和国家有关保密规定进行保护。对涉及国计民生的重要信息系统,要进行必要的信息安全检查。重要信息系统,要进行必要的信息安全检查。”的明确要求 路漫漫其悠远路漫漫其悠远锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂深刻认识开展信息安全风险评估工作的深刻认识开展信息安全风险评估工作的重要意义重要意义o如何确切掌握网络和信息系统的安全程度、分析安全威如何确切掌握网络和信息系统的安全程度、分析安全威胁来自何方、安全风险有多大,加强信息安全保障工作胁来自何方、安全风险有多大,加强信息安全保障工作应采取哪些措施,要投入多少人力、财力和物力;确定应采取哪些措施,要投入多少人力、财力和物力;确定已采取的信息安全措施是否有效以及提出按照相应信息已采取的信息安全措施是否有效以及提出按照相应信息安全等级进行安全建设和管理的依据等一系列具体问题。安全等级进行安全建设和管理的依据等一系列具体问题。o风险评估是解决上述问题的重要方法和基础性工作。系风险评估是解决上述问题的重要方法和基础性工作。系统的安全性可通过风险大小来度量统的安全性可通过风险大小来度量,科学地分析系统在科学地分析系统在保密性、完整性、可用性等方面所面临的威胁,发现系保密性、完整性、可用性等方面所面临的威胁,发现系统安全的主要问题和矛盾,就能够在安全风险的预防、统安全的主要问题和矛盾,就能够在安全风险的预防、减少、转移、补偿和分散等之间做出决策,最大限度地减少、转移、补偿和分散等之间做出决策,最大限度地控制和化解安全威胁。控制和化解安全威胁。o网络信息系统的安全建设都要在风险评估基础上网络信息系统的安全建设都要在风险评估基础上,成为成为信息化建设的内在要求,系统主管部门和运营、应用单信息化建设的内在要求,系统主管部门和运营、应用单位必须做好本系统信息安全风险评估工作。位必须做好本系统信息安全风险评估工作。路漫漫其悠远路漫漫其悠远锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂我对风险评估工作指导思想和原则的理解o我国风险评估工作应立足国情,以我为主,突出重点、我国风险评估工作应立足国情,以我为主,突出重点、整合资源,逐步建成有中国特色的风险评估体系,为全整合资源,逐步建成有中国特色的风险评估体系,为全面提高国家的信息安全保障能力而服务。面提高国家的信息安全保障能力而服务。o 风险评估是信息系统安全管理的基础工作和重要环节。风险评估是信息系统安全管理的基础工作和重要环节。我国基础信息网络和国家电子政务系统、主要新闻媒体我国基础信息网络和国家电子政务系统、主要新闻媒体和一批涉及能源、交通、通信、战略物资等国家重要信和一批涉及能源、交通、通信、战略物资等国家重要信息系统,风险评估必须遵守以下原则:息系统,风险评估必须遵守以下原则:国家指导、政府国家指导、政府监管,统一规范、分类指导,突出重点、兼顾一般,军监管,统一规范、分类指导,突出重点、兼顾一般,军民结合、分工协作。民结合、分工协作。o目前我国风险评估实施重点是基础网络和重要信息系统。目前我国风险评估实施重点是基础网络和重要信息系统。同时兼顾其它信息系统,加强指导,确保各类网络和信同时兼顾其它信息系统,加强指导,确保各类网络和信息系统的风险评估工作能够健康、有序进行。息系统的风险评估工作能够健康、有序进行。路漫漫其悠远路漫漫其悠远锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂对风险评估总体要求的理解o风险评估工作总体要求是:风险评估工作总体要求是:n充分发挥和调动各方面力量,运用风险管理的思想,充分发挥和调动各方面力量,运用风险管理的思想,通过风险评估,控制和降低风险,全面提高信息系统通过风险评估,控制和降低风险,全面提高信息系统防护能力,满足信息安全需求,逐步建成有中国特色防护能力,满足信息安全需求,逐步建成有中国特色的风险评估体系。的风险评估体系。n评估我国基础信息网络和重要信息系统,掌握我国基评估我国基础信息网络和重要信息系统,掌握我国基础信息网络和重要信息系统的安全状态,及时采取合础信息网络和重要信息系统的安全状态,及时采取合适的应对措施,保障它们的正常运行。适的应对措施,保障它们的正常运行。n通过对国家级重点电子政务系统、电子商务系统以及通过对国家级重点电子政务系统、电子商务系统以及重要信息基础设施的风险评估工作,从中摸索经验,重要信息基础设施的风险评估工作,从中摸索经验,不断探索,逐步完善我国风险评估工作的管理机制。不断探索,逐步完善我国风险评估工作的管理机制。路漫漫其悠远路漫漫其悠远锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂四、建立风险评估基本管理制度的建议o1、风险评估制度。风险评估制度。包括信息系统在设计阶段要进行风险评估以确包括信息系统在设计阶段要进行风险评估以确定系统的安全目标;在建设验收阶段要进行风险评估以确定系统的定系统的安全目标;在建设验收阶段要进行风险评估以确定系统的安全目标达到与否;在运行维护阶段要针对安全形势和问题定期或安全目标达到与否;在运行维护阶段要针对安全形势和问题定期或不定期地不断进行风险评估以确定安全措施的有效性,确保安全保不定期地不断进行风险评估以确定安全措施的有效性,确保安全保障目标始终如一得以实现。障目标始终如一得以实现。o2、信息安全检查制度与自评估制度信息安全检查制度与自评估制度。n信息安全检查由信息安全主管机关或信息系统上级主管机关发起,信息安全检查由信息安全主管机关或信息系统上级主管机关发起,依据国家风险评估的管理规范和技术标准进行的检查评估依据国家风险评估的管理规范和技术标准进行的检查评估,通过行通过行政手段加强信息安全的重要措施。包括安全保密检查、生产安全检政手段加强信息安全的重要措施。包括安全保密检查、生产安全检查、专项检查等。查、专项检查等。n自评估是信息系统运营或应用单位依靠自身力量,依据国家风险评自评估是信息系统运营或应用单位依靠自身力量,依据国家风险评估的管理规范和技术标准,对系统进行风险评估的工作。估的管理规范和技术标准,对系统进行风险评估的工作。o3、系统安全准入制度系统安全准入制度。按照谁主管谁负责、谁运营谁负责的要求,。按照谁主管谁负责、谁运营谁负责的要求,信息系统上级主管机关依据自评估或信息安全检查的结果,决定是信息系统上级主管机关依据自评估或信息安全检查的结果,决定是否批准信息系统投入建设或运行。信息系统安全准入工作应纳入基否批准信息系统投入建设或运行。信息系统安全准入工作应纳入基础信息网络和重要信息系统安全管理体系。础信息网络和重要信息系统安全管理体系。路漫漫其悠远路漫漫其悠远锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂我国风险评估的几项任务o1、建立风险评估基本管理制度建立风险评估基本管理制度o2、加强风险评估工作队伍的建设、加强风险评估工作队伍的建设o加强风险评估工作队伍的建设是做好风险评估工作的前提。建议在条件相对成熟的情况下,在已有基础上,整合资源,形成一支承担国家基础信息网络和重要信息系统的风险评估的骨干力量,负责国家基础信息网络和重要信息系统风险评估工作。o3、提出信息安全等级保护和风险评估相关联的指导原、提出信息安全等级保护和风险评估相关联的指导原则则o针对不同的信息系统实施信息安全等级保护的重要原则,要针对不同信息安全等级的信息系统,提出进行风险评估工作所遵循的相应评估准则、工作模式和工作流程,作为各部门、各单位安全风险评估指南的补充,同时丰富和完善对不同类型、不同等级的信息系统实施信息安全等级保护的具体内容。路漫漫其悠远路漫漫其悠远锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂落实风险评估建设的相关措施落实风险评估建设的相关措施o1、加强法规建设和标准化工作加强法规建设和标准化工作o按照我国信息化发展需求,逐步完善我国风险评估相关的法律法规体系,形按照我国信息化发展需求,逐步完善我国风险评估相关的法律法规体系,形成和完善满足我国信息化建设需要的风险评估标准体系,规范我国风险评估成和完善满足我国信息化建设需要的风险评估标准体系,规范我国风险评估执法主体行为,实现管理法制化和规范化。执法主体行为,实现管理法制化和规范化。o2、保证风险评估工作必要的经费、保证风险评估工作必要的经费o通过国家财政正式立项,对国家基础网络和重要信息系统风险评估工作、国通过国家财政正式立项,对国家基础网络和重要信息系统风险评估工作、国家安全风险评估试点示范项目、相关法规和标准研究和相关基础研究与人才家安全风险评估试点示范项目、相关法规和标准研究和相关基础研究与人才培训等项目给予资金支持,保证配套经费的落实。培训等项目给予资金支持,保证配套经费的落实。o3、统筹建设国家风险评估的基础设施和基础环境、统筹建设国家风险评估的基础设施和基础环境o统筹建设国家基础信息网络和重要信息系统风险评估的基础设施和基础环境,统筹建设国家基础信息网络和重要信息系统风险评估的基础设施和基础环境,将风险评估国家重点实验室的建设纳入国家信息安全保障基础设施的建设规将风险评估国家重点实验室的建设纳入国家信息安全保障基础设施的建设规划,构建风险分析试验环境,组织研制开发科学、实用的检查、评估工具,划,构建风险分析试验环境,组织研制开发科学、实用的检查、评估工具,开展风险评估技术、理论、标准的研究开展风险评估技术、理论、标准的研究;建立国家风险评估数据库,积累资料,建立国家风险评估数据库,积累资料,全面提高国家风险评估水平。全面提高国家风险评估水平。o4、加强风险评估核心技术研究与攻关研究、加强风险评估核心技术研究与攻关研究o国家要加强风险评估核心技术研究与攻关,通过技术创新,增强风险评估核国家要加强风险评估核心技术研究与攻关,通过技术创新,增强风险评估核心技术的竞争力,适应时代发展的要求,力争在近几年内在核心环节有较大心技术的竞争力,适应时代发展的要求,力争在近几年内在核心环节有较大的突破的突破。路漫漫其悠远路漫漫其悠远锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂提纲提纲一、信息化风险及风险管理研究一、信息化风险及风险管理研究二:信息安全风险评估贵在实践二:信息安全风险评估贵在实践三、试点经验宝贵路漫漫其悠远路漫漫其悠远锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂研究了试点工作目的研究了试点工作目的o试点工作的目的是试点工作的目的是:n在现有管理体制下,摸索如何开展信息安全风险评估工作,检验在现有管理体制下,摸索如何开展信息安全风险评估工作,检验草拟的风险评估相关标准规范的可行性与可用性,为全面推广信草拟的风险评估相关标准规范的可行性与可用性,为全面推广信息安全风险评估工作和国家出台关于信息安全风险评估工作意息安全风险评估工作和国家出台关于信息安全风险评估工作意见做前期准备。见做前期准备。o在试点工作中将探讨以下问题:在试点工作中将探讨以下问题:n探索风险评估管理机制的建设,研究如何落实中办发探索风险评估管理机制的建设,研究如何落实中办发2727号文件号文件“谁主管谁负责谁运营谁负责谁主管谁负责谁运营谁负责”的原则,的原则,包括信息安全风险评估的包括信息安全风险评估的领导体制、协调机制、审查与批准、监管、督察和备案等内容;领导体制、协调机制、审查与批准、监管、督察和备案等内容;明确信息安全风险评估的角色、责任、方法、过程及结果明确信息安全风险评估的角色、责任、方法、过程及结果n摸索协同开展风险评估工作和信息安全等级保护工作、保密检查摸索协同开展风险评估工作和信息安全等级保护工作、保密检查工作的实践经验;工作的实践经验;n检验和完善信息安全风险评估管理规范与技术标准;检验和完善信息安全风险评估管理规范与技术标准;n了解信息安全检查评估和自评估模式的效果与不足了解信息安全检查评估和自评估模式的效果与不足;路漫漫其悠远路漫漫其悠远锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂明确专家组工作基本思路明确专家组工作基本思路o在在2004年工作的基础上,国信办安全组决定年工作的基础上,国信办安全组决定今年正式启动风险评估试点工作今年正式启动风险评估试点工作,明确了专家组明确了专家组的角色:的角色:立足咨询服务,协助试点单位立足咨询服务,协助试点单位o主要任务主要任务:n参与讨论和完善参与讨论和完善“信息安全风险评估工作意见信息安全风险评估工作意见”n协助风险评估试点单位做好试点工作协助风险评估试点单位做好试点工作n做好信息安全风险评估培训和咨询工作做好信息安全风险评估培训和咨询工作n加紧修订和宣贯风险评估试行标准加紧修订和宣贯风险评估试行标准路漫漫其悠远路漫漫其悠远锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂确定选择试点单位确定选择试点单位o1、条件条件n试点单位的信息化系统已具有一定的规模,试点单位应具试点单位的信息化系统已具有一定的规模,试点单位应具备自己的技术一定的、专业队伍和评估实践经验。备自己的技术一定的、专业队伍和评估实践经验。o2 2、范围、范围n信息化程度较高的行业部门的信息系统,如金融、税务、信息化程度较高的行业部门的信息系统,如金融、税务、电力;电力;n建设发展中的电子政务重要信息系统;建设发展中的电子政务重要信息系统;n部分涉密信息系统;部分涉密信息系统;n信息化程度不同的地方单位。信息化程度不同的地方单位。o专家组提出建议,协助国信办确定试点入选单位。专家组提出建议,协助国信办确定试点入选单位。路漫漫其悠远路漫漫其悠远锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂协助国信办提出试点工作阶段划分的建议专家组建议试点工作划分为以下几个阶段:专家组建议试点工作划分为以下几个阶段:o1 1、准备阶段、准备阶段n 成立试点工作组织机构,制定试点工作规范成立试点工作组织机构,制定试点工作规范n 选定试点单位选定试点单位 o2 2、实施阶段、实施阶段n组织对试点单位进行评估方法和技术的培训;组织对试点单位进行评估方法和技术的培训;n试点单位进行评估,并向国信办提交工作报告;试点单位进行评估,并向国信办提交工作报告;n组织交流和研讨,小结试点单位评估经验,提出整改建议组织交流和研讨,小结试点单位评估经验,提出整改建议o3 3、总结阶段、总结阶段路漫漫其悠远路漫漫其悠远锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂积极参与了试点工作o协助修订关于开展信息安全风险评估工作的意见,提协助修订关于开展信息安全风险评估工作的意见,提供相关的咨询和技术支持。供相关的咨询和技术支持。o参与试点的相关咨询工作参与试点的相关咨询工作n1 1、准备阶段:组织八个试点单位的相关人员进行培训,明确风险、准备阶段:组织八个试点单位的相关人员进行培训,明确风险评估流程和风险评估准备阶段的任务,协助试点单位制定其风险评评估流程和风险评估准备阶段的任务,协助试点单位制定其风险评估实施方案。估实施方案。o标准培训标准培训o试点方案编制的培训试点方案编制的培训n2 2、实施阶段:调研试点方案实施情况,了解试点单位对评估及管、实施阶段:调研试点方案实施情况,了解试点单位对评估及管理的流程、方法、工具的使用存在的问题,充实和完善标准。理的流程、方法、工具的使用存在的问题,充实和完善标准。o选择重点单位进行调研,并对关键阶段进行蹲点,以切实了解单位试选择重点单位进行调研,并对关键阶段进行蹲点,以切实了解单位试点工作过程中存在的问题,为两个标准的完善提供实践素材;点工作过程中存在的问题,为两个标准的完善提供实践素材;o进行试点中期总结,为指导意见提供阶段性素材;进行试点中期总结,为指导意见提供阶段性素材;o根据试点单位需求,进行有针对性的培训和咨询,协助完成试点工作根据试点单位需求,进行有针对性的培训和咨询,协助完成试点工作路漫漫其悠远路漫漫其悠远锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂积极参与了试点工作(续)(续)o总结阶段:协助国信办汇总试点工作情况,总总结阶段:协助国信办汇总试点工作情况,总结修改意见,并完善标准。结修改意见,并完善标准。n在各试点单位正式总结之前,召开专家组评审会;在各试点单位正式总结之前,召开专家组评审会;n为国信办试点工作总结提供基础素材。为国信办试点工作总结提供基础素材。o标准的完善标准的完善n充实和完善信息安全风险评估指南和充实和完善信息安全风险评估指南和信息安全风险管理指南,通过试点工作提出两信息安全风险管理指南,通过试点工作提出两个标准的修改意见。同时进行与标准相关的配套理个标准的修改意见。同时进行与标准相关的配套理论、方法和规范的研究。论、方法和规范的研究。路漫漫其悠远路漫漫其悠远锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂试点工作与标准验证试点工作与标准验证o试点工作对去年国信办组织制定的两项试行标准进试点工作对去年国信办组织制定的两项试行标准进行了验证,提出了修订建议行了验证,提出了修订建议o绝大多数试点单位大都参照了去年国信办和国家安绝大多数试点单位大都参照了去年国信办和国家安标委组织编写的信息安全风险评估指南及信标委组织编写的信息安全风险评估指南及信息安全风险管理指南。息安全风险管理指南。o试点单位大都结合自身的具体情况,选择了相应的试点单位大都结合自身的具体情况,选择了相应的评估方法和适当的安全控制措施及管理流程,实践评估方法和适当的安全控制措施及管理流程,实践经验证明各试点单位评估基于的基本原则和核心方经验证明各试点单位评估基于的基本原则和核心方法与试行标准指南大体吻合一致。法与试行标准指南大体吻合一致。路漫漫其悠远路漫漫其悠远锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂收获和体会收获和体会o提高了对风险评估工作的认识和理解提高了对风险评估工作的认识和理解n科学方法、长效机制科学方法、长效机制o为国信办风险评估工作文件起草积累了素材为国信办风险评估工作文件起草积累了素材o检验了标准,两项试行标准得到了肯定检验了标准,两项试行标准得到了肯定o初步规范了评估内容,演练了评估的实施流程初步规范了评估内容,演练了评估的实施流程o试行了部分评估技术方法,重视了评估的科学性试行了部分评估技术方法,重视了评估的科学性n评估方法的百花齐放和创新性评估方法的百花齐放和创新性o体现了创新,积累了成果,培训了人才体现了创新,积累了成果,培训了人才路漫漫其悠远路漫漫其悠远锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂试点工作技术上特点o计划比较周密计划比较周密o注意控制了评估自身的风险注意控制了评估自身的风险o注意遵循和验证标准讨论稿注意遵循和验证标准讨论稿o及时总结经验和问题及时总结经验和问题o始终重视人才培养始终重视人才培养o在技术上通过评估方法的多样化,进行了有在技术上通过评估方法的多样化,进行了有益的探索益的探索路漫漫其悠远路漫漫其悠远锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂典型方法之一:综合风险计算法典型方法之一:综合风险计算法o规范评估过程规范评估过程n摸清家底:划分资产类型,建立重要资产清单,摸清家底:划分资产类型,建立重要资产清单,识别资产重要性识别资产重要性n分析威胁和分析脆弱性两种途径分析威胁和分析脆弱性两种途径n按层次分析脆弱性按层次分析脆弱性n判定安全时间及其影响判定安全时间及其影响n计算威胁风险值计算威胁风险值n制定风险控制措施制定风险控制措施路漫漫其悠远路漫漫其悠远锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂典型方法之四:面向关键信息资产的评估方法典型方法之四:面向关键信息资产的评估方法(续)(续)o威胁路径分析法威胁路径分析法o面向关键信息资产的层次分析法面向关键信息资产的层次分析法o利用等级保护支撑平台的评估方法利用等级保护支撑平台的评估方法 路漫漫其悠远路漫漫其悠远锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂试点工作出现了一批成果试点工作出现了一批成果o上海市的风险评估管理软件上海市的风险评估管理软件n评估模型和方法的创新与探索评估模型和方法的创新与探索o北京市利用了已有的工具平台,形成了评估北京市利用了已有的工具平台,形成了评估辅助工具平台辅助工具平台o黑龙江提出了基于模糊综合判定理论的风险黑龙江提出了基于模糊综合判定理论的风险评估判定方法评估判定方法o既有量化的探索,也有定性为主的探索既有量化的探索,也有定性为主的探索o云南提出了增加业务流分析和已有控制措施云南提出了增加业务流分析和已有控制措施的有效性识别或判定的有效性识别或判定路漫漫其悠远路漫漫其悠远锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂试点工作出现了一批成果(续)试点工作出现了一批成果(续)o国家税务总局提出了差距分析法,细化了流国家税务总局提出了差距分析法,细化了流程程o国电公司提出了符合行业特点的方法,初步国电公司提出了符合行业特点的方法,初步形成了行业安全评估方法论,涵盖了安全定形成了行业安全评估方法论,涵盖了安全定义、安全评测和风险分析的全过程义、安全评测和风险分析的全过程路漫漫其悠远路漫漫其悠远锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂试点工作发现的问题试点工作发现的问题o技术技术n评测工具,评测工具,缺乏统一的要求和资质认定缺乏统一的要求和资质认定n模拟环境或联机旁路测试环境的不完备和缺乏模拟环境或联机旁路测试环境的不完备和缺乏n测试深度的不平衡测试深度的不平衡o管理管理o标准规范标准规范n试行标准指南总体得到肯定,但尚需进一步完善试行标准指南总体得到肯定,但尚需进一步完善路漫漫其悠远路漫漫其悠远锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂下一步建议下一步建议o认真总结经验认真总结经验o统一规划、建立制度。制定国家基础网络和重要信息系统的风统一规划、建立制度。制定国家基础网络和重要信息系统的风险评估总体规划以及险评估总体规划以及“十一五十一五”期间的工作计划。积极推进风险期间的工作计划。积极推进风险评估基本管理制度的建立;应尽快就国家基础信息网络和重要评估基本管理制度的建立;应尽快就国家基础信息网络和重要信息系统风险评估工作所涉及的领导体制、协调机制、认证与信息系统风险评估工作所涉及的领导体制、协调机制、认证与认可、监管和督察、评估时间、评估对象、评估范围、评估方认可、监管和督察、评估时间、评估对象、评估范围、评估方式、评估人员资质、评估结果发布和备案等内容,进一步开展式、评估人员资质、评估结果发布和备案等内容,进一步开展研究,形成风险评估工作管理法规制度研究,形成风险评估工作管理法规制度o加快建立、逐步完善标准规范体系。标准规范是推广和实施风加快建立、逐步完善标准规范体系。标准规范是推广和实施风险评估工作的法律依据和技术保障,要加快风险评估管理与技险评估工作的法律依据和技术保障,要加快风险评估管理与技术标准的制定和完善,术标准的制定和完善,研究评估机构服务标准、资质认可与资研究评估机构服务标准、资质认可与资质的核查评估的管理办法;尽快出台国家标准。质的核查评估的管理办法;尽快出台国家标准。路漫漫其悠远路漫漫其悠远锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂建设独立自主、符合国际惯例的风险评估建设独立自主、符合国际惯例的风险评估技术支撑体系技术支撑体系o举国家之力,支持建设独立自主、符合国际举国家之力,支持建设独立自主、符合国际惯例的风险评估技术支撑体系。惯例的风险评估技术支撑体系。n建设国家基础信息网络和重要信息系统风险评估建设国家基础信息网络和重要信息系统风险评估的基础设施和基础环境;的基础设施和基础环境;n落实开发相关技术和产品的攻关项目。通过研发落实开发相关技术和产品的攻关项目。通过研发自主关键技术和设备,满足国家网络基础设施和自主关键技术和设备,满足国家网络基础设施和重要信息系统的风险评估需求,支持安全评估应重要信息系统的风险评估需求,支持安全评估应用用n逐步建立符合国际惯例、达到国际先进水平的安逐步建立符合国际惯例、达到国际先进水平的安全评估技术支撑体系全评估技术支撑体系路漫漫其悠远路漫漫其悠远锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂安全测试评估工具、平台与环境安全测试评估工具、平台与环境促进建立国家信息安全测试评估体系促进建立国家信息安全测试评估体系促进建立国家信息安全测试评估体系促进建立国家信息安全测试评估体系形成示范应用形成示范应用形成示范应用形成示范应用产品和系统产品和系统产品和系统产品和系统测试评估工具测试评估工具测试评估工具测试评估工具产品和系统产品和系统产品和系统产品和系统测试评估支撑环境测试评估支撑环境测试评估支撑环境测试评估支撑环境建立先进的测试评估标准体系和开发环境建立先进的测试评估标准体系和开发环境系统等级保护测试系统等级保护测试系统等级保护测试系统等级保护测试评估平台评估平台评估平台评估平台安全测试评估技术与系统安全测试评估技术与系统路漫漫其悠远路漫漫其悠远锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂锲而不舍,金石可镂下一步建议(续)下一步建议(续)o加强风险评估工作队伍的建设,重视培训、建立风险加强风险评估工作队伍的建设,重视培训、建立风险评估机构管理制度评估机构管理制度n在已有基础上,整合资源,分类指导,组建不同等级的风险评在已有基础上,整合资源,分类指导,组建不同等级的风险评估机构,分别承担国家和地方基础信息网络和重要信息系统以估机构,分别承担国家和地方基础信息网络和重要信息系统以及本行业信息系统风险评估工作,形成风险评估的骨干力量。及本行业信息系统风险评估工作,形成风险评估的骨干力量。n风险评估敏感性很强,如果引导不当,管理不到位,有可能因风险评估敏感性很强,如果引导不当,管理不到位,有可能因为风险评估带来新的安全隐患。对国家基础信息网络和重要信为风险评估带来新的安全隐患。对国家基础信息网络和重要信息系统的风险评估,实行资质准入制度,只充许经国家批准的息系统的风险评估,实行资质准入制度,只充许经国家批准的风险评估机构实施风险评估。国家必须加强风险评估评估工作风险评估机构实施风险评估。国家必须加强风险评估评估工作的管理,建立服务标准、资质认可与资质核查评估制度。的管理,建立服务标准、资质认可与资质核查评估制度。
展开阅读全文