国家信息安全风险评估有关政策介绍.ppt

资源描述

国家信息安全风险评估有关政策介绍国信办网络与信息安全组熊四皓 2006年8月7日开展信息安全风险评估工作的意义文件的主要内容下一步工作安排信息安全保障本质上是风险管理的工作信息安全风险和事件不可能完全避免关键在于如何控制化解和规避风险信息安全保障是高技术的对抗有别于传统安全呈现扩散速度快难控制等特点必须采取符合信息安全规律的科学方法和手段来保障信息安全 27号文件提出要重视信息安全风险评估工作对网络与信息系统安全的潜在威胁薄弱环节防护措施等进行分析评估风险评估是分析确定风险的过程信息安全风险评估是信息安全建设的起点和基础信息安全风险评估是信息安全建设和管理的科学方法风险评估实际上是在倡导一种适度安全重视风险评估是信息化发达国家的重要经验开展信息安全风险评估工作的意义文件的主要内容下一步工作安排文件是集体智慧的结晶和实践经验的总结风险评估工作的内容与形式开展信息安全风险评估工作的基本要求加强信息安全风险评估的基础性工作文件是集体智慧的结晶和实践经验的总结风险评估工作的内容与形式信息安全风险评估分为自评估和检查评估两种形式自评估是指网络和信息系统的拥有运营使用单位发起的对本单位信息系统进行的风险评估自评估是信息安全风险评估的主要形式检查评估是指信息系统上级管理部门组织的或国家有关职能部门依法开展的信息安全风险评估自评估和检查评估可以依靠自身技术力量进行也可委托第三方专业机构提供技术支持开展信息安全风险评估工作的基本要求信息安全风险评估的实施要求信息安全风险评估的管理要求信息安全风险评估工作应当贯穿信息系统全生命周期在信息系统规划设计阶段通过信息安全风险评估工作可以明确信息系统的安全需求及其安全目标有针对性地制定和部署安全措施从而避免产生欠保护或过保护的情况在信息系统建设完成验收时通过风险评估工作可以检验信息系统是否实现了所设计的安全功能是否满足了信息系统的安全需求并达到预期的安全目标由于信息技术的发展信息系统业务以及所处安全环境的变化会不断出现新的信息安全风险因此在信息系统的运行阶段应当定期进行信息安全风险评估以检验安全措施的有效性以及对安全环境的适应性当安全形势发生重大变化或信息系统使命有重大变更时应及时进行信息安全风险评估信息安全风险评估也是落实等级保护制度的重要手段应通过信息安全风险评估为信息系统确定安全等级提供依据根据风险评估的结果检验网络与信息系统的防护水平是否符合等级保护的要求开展信息安全风险评估工作的基本要求信息安全风险评估的实施要求信息安全风险评估的管理要求信息安全风险评估工作敏感性强涉及系统的关键资产和核心信息一旦处理不当反而可能引入新的风险意见强调必须高度重视信息安全风险评估的组织管理工作为规避由于风险评估工作而引入新的安全风险意见提出以下要求 1 参与信息安全风险评估工作的单位及其有关人员必须遵守国家有关信息安全的法律法规并承担相应的责任和义务 2 风险评估工作的发起方必须采取相应保密措施并与参与评估的有关单位或人员签订具有法律约束力的保密协议 3 对关系国计民生和社会稳定的基础信息网络和重要信息系统的信息安全风险评估工作必须遵循国家的有关规定进行加强信息安全风险评估的基础性工作要加快制定和完善信息安全风险评估有关技术标准尽快完善并颁布信息安全风险评估指南和信息安全风险管理指南等国家标准各行业主管部门也可根据本行业特点制定相应的技术规范要加强信息安全风险评估核心技术方法和工具的研究与攻关要从抓试点开始逐步探索组织实施和管理的经验用三年左右的时间在我国基础信息网络和重要信息系统普遍推行信息安全风险评估工作全面提高我国信息安全的科学管理水平提升网络和信息系统安全保障能力为保障和促进我国信息化发展服务开展信息安全风险评估工作的意义文件的主要内容下一步工作安排围绕着意见的贯彻落实国务院信息办今年将着重抓好以下三个方面的工作一是组织意见宣传贯彻拟分批在北京和云南召开宣贯会组织专家就意见的主要精神进行宣讲同时积极推动信息安全风险评估指南的颁布在指南正式颁布前以国信办文件的形式将指南征求意见稿在内部印发供大家参考二是组织成立信息安全风险评估专家组专家组的任务重点是抓好信息安全风险评估的技术培训技术交流和教材的编写同时开展面上的调研和指导为各部门和地方的信息安全风险评估工作提供技术咨询三是抓好基础信息网络和关系国计民生的重要信息系统的信息安全风险评估工作这项工作我们还将召开会议作专门部署推进信息安全风险评估工作必须仔细谋划认真组织稳步推进我们不希望一哄而起刚开始时步子可以小一点一定要先通过试点探索并积累经验然后再在面上推开总之要弄清楚想明白之后再干避免盲目性谢谢大家

展开阅读全文

国家信息安全风险评估有关政策介绍.ppt

最新文档