国家信息安全风险评估有关政策介绍.ppt

上传人:tian****1990 文档编号:7974474 上传时间:2020-03-26 格式:PPT 页数:25 大小:251.36KB
返回 下载 相关 举报
国家信息安全风险评估有关政策介绍.ppt_第1页
第1页 / 共25页
国家信息安全风险评估有关政策介绍.ppt_第2页
第2页 / 共25页
国家信息安全风险评估有关政策介绍.ppt_第3页
第3页 / 共25页
点击查看更多>>
资源描述
国家信息安全风险评估有关政策介绍 国信办网络与信息安全组熊四皓 2006年8月7日 开展信息安全风险评估工作的意义文件的主要内容下一步工作安排 信息安全保障本质上是风险管理的工作 信息安全风险和事件不可能完全避免 关键在于如何控制 化解和规避风险 信息安全保障是高技术的对抗 有别于传统安全 呈现扩散速度快 难控制等特点 必须采取符合信息安全规律的科学方法和手段来保障信息安全 27号文件提出 要重视信息安全风险评估工作 对网络与信息系统安全的潜在威胁 薄弱环节 防护措施等进行分析评估 风险评估是分析确定风险的过程信息安全风险评估是信息安全建设的起点和基础信息安全风险评估是信息安全建设和管理的科学方法风险评估实际上是在倡导一种适度安全重视风险评估是信息化发达国家的重要经验 开展信息安全风险评估工作的意义文件的主要内容下一步工作安排 文件是集体智慧的结晶和实践经验的总结风险评估工作的内容与形式开展信息安全风险评估工作的基本要求加强信息安全风险评估的基础性工作 文件是集体智慧的结晶和实践经验的总结 风险评估工作的内容与形式 信息安全风险评估分为自评估和检查评估两种形式 自评估是指网络和信息系统的拥有 运营 使用单位发起的对本单位信息系统进行的风险评估 自评估是信息安全风险评估的主要形式 检查评估是指信息系统上级管理部门组织的或国家有关职能部门依法开展的信息安全风险评估 自评估和检查评估可以依靠自身技术力量进行 也可委托第三方专业机构提供技术支持 开展信息安全风险评估工作的基本要求 信息安全风险评估的实施要求信息安全风险评估的管理要求 信息安全风险评估工作应当贯穿信息系统全生命周期 在信息系统规划设计阶段 通过信息安全风险评估工作 可以明确信息系统的安全需求及其安全目标 有针对性地制定和部署安全措施 从而避免产生欠保护或过保护的情况 在信息系统建设完成验收时 通过风险评估工作可以检验信息系统是否实现了所设计的安全功能 是否满足了信息系统的安全需求并达到预期的安全目标 由于信息技术的发展 信息系统业务以及所处安全环境的变化 会不断出现新的信息安全风险 因此 在信息系统的运行阶段 应当定期进行信息安全风险评估 以检验安全措施的有效性以及对安全环境的适应性 当安全形势发生重大变化或信息系统使命有重大变更时 应及时进行信息安全风险评估 信息安全风险评估也是落实等级保护制度的重要手段 应通过信息安全风险评估为信息系统确定安全等级提供依据 根据风险评估的结果检验网络与信息系统的防护水平是否符合等级保护的要求 开展信息安全风险评估工作的基本要求 信息安全风险评估的实施要求信息安全风险评估的管理要求 信息安全风险评估工作敏感性强 涉及系统的关键资产和核心信息 一旦处理不当 反而可能引入新的风险 意见 强调 必须高度重视信息安全风险评估的组织管理工作 为规避由于风险评估工作而引入新的安全风险 意见 提出以下要求 1 参与信息安全风险评估工作的单位及其有关人员必须遵守国家有关信息安全的法律法规 并承担相应的责任和义务 2 风险评估工作的发起方必须采取相应保密措施 并与参与评估的有关单位或人员签订具有法律约束力的保密协议 3 对关系国计民生和社会稳定的基础信息网络和重要信息系统的信息安全风险评估工作必须遵循国家的有关规定进行 加强信息安全风险评估的基础性工作 要加快制定和完善信息安全风险评估有关技术标准 尽快完善并颁布 信息安全风险评估指南 和 信息安全风险管理指南 等国家标准 各行业主管部门也可根据本行业特点制定相应的技术规范 要加强信息安全风险评估核心技术 方法和工具的研究与攻关 要从抓试点开始 逐步探索组织实施和管理的经验 用三年左右的时间在我国基础信息网络和重要信息系统普遍推行信息安全风险评估工作 全面提高我国信息安全的科学管理水平 提升网络和信息系统安全保障能力 为保障和促进我国信息化发展服务 开展信息安全风险评估工作的意义文件的主要内容下一步工作安排 围绕着意见的贯彻落实 国务院信息办今年将着重抓好以下三个方面的工作 一是组织 意见 宣传贯彻 拟分批在北京和云南召开宣贯会 组织专家就 意见 的主要精神进行宣讲 同时 积极推动 信息安全风险评估指南 的颁布 在 指南 正式颁布前以国信办文件的形式将 指南 征求意见稿在内部印发 供大家参考 二是组织成立信息安全风险评估专家组 专家组的任务重点是抓好信息安全风险评估的技术培训 技术交流和教材的编写 同时 开展面上的调研和指导 为各部门和地方的信息安全风险评估工作提供技术咨询 三是抓好基础信息网络和关系国计民生的重要信息系统的信息安全风险评估工作 这项工作我们还将召开会议作专门部署 推进信息安全风险评估工作必须仔细谋划 认真组织 稳步推进 我们不希望一哄而起 刚开始时步子可以小一点 一定要先通过试点探索并积累经验 然后再在面上推开 总之 要弄清楚 想明白之后再干 避免盲目性 谢谢大家
展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 图纸专区 > 课件教案


copyright@ 2023-2025  zhuangpeitu.com 装配图网版权所有   联系电话:18123376007

备案号:ICP2024067431-1 川公网安备51140202000466号


本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知装配图网,我们立即给予删除!