國家信息安全風(fēng)險評估有關(guān)政策介紹課件_第1頁
國家信息安全風(fēng)險評估有關(guān)政策介紹課件_第2頁
國家信息安全風(fēng)險評估有關(guān)政策介紹課件_第3頁
國家信息安全風(fēng)險評估有關(guān)政策介紹課件_第4頁
國家信息安全風(fēng)險評估有關(guān)政策介紹課件_第5頁
已閱讀5頁,還剩20頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、國家信息安全風(fēng)險評估有關(guān)政策介紹國家信息安全風(fēng)險評估有關(guān)政策介紹國信辦網(wǎng)絡(luò)與信息安全組 2006年8月7日國家信息安全風(fēng)險評估有關(guān)政策介紹n開展信息安全風(fēng)險評估工作的意義開展信息安全風(fēng)險評估工作的意義n文件的主要內(nèi)容文件的主要內(nèi)容n下一步工作安排下一步工作安排國家信息安全風(fēng)險評估有關(guān)政策介紹 信息安全保障本質(zhì)上是風(fēng)險管理的工作,信息信息安全保障本質(zhì)上是風(fēng)險管理的工作,信息安全風(fēng)險和事件不可能完全避免,關(guān)鍵在于如安全風(fēng)險和事件不可能完全避免,關(guān)鍵在于如何控制、化解和規(guī)避風(fēng)險。信息安全保障是高何控制、化解和規(guī)避風(fēng)險。信息安全保障是高技術(shù)的對抗,有別于傳統(tǒng)安全,呈現(xiàn)擴散速度技術(shù)的對抗,有別于傳統(tǒng)安全

2、,呈現(xiàn)擴散速度快、難控制等特點,必須采取符合信息安全規(guī)快、難控制等特點,必須采取符合信息安全規(guī)律的科學(xué)方法和手段來保障信息安全。律的科學(xué)方法和手段來保障信息安全。27號文號文件提出件提出“要重視信息安全風(fēng)險評估工作,對網(wǎng)要重視信息安全風(fēng)險評估工作,對網(wǎng)絡(luò)與信息系統(tǒng)安全的潛在威脅、薄弱環(huán)節(jié)、防絡(luò)與信息系統(tǒng)安全的潛在威脅、薄弱環(huán)節(jié)、防護措施等進行分析評估護措施等進行分析評估 ”國家信息安全風(fēng)險評估有關(guān)政策介紹n風(fēng)險評估是分析確定風(fēng)險的過程風(fēng)險評估是分析確定風(fēng)險的過程n信息安全風(fēng)險評估是信息安全建設(shè)的起信息安全風(fēng)險評估是信息安全建設(shè)的起點和基礎(chǔ)點和基礎(chǔ) n信息安全風(fēng)險評估是信息安全建設(shè)和管信息安全風(fēng)

3、險評估是信息安全建設(shè)和管理的科學(xué)方法理的科學(xué)方法 n風(fēng)險評估實際上是在倡導(dǎo)一種適度安全風(fēng)險評估實際上是在倡導(dǎo)一種適度安全 n重視風(fēng)險評估是信息化發(fā)達國家的重要重視風(fēng)險評估是信息化發(fā)達國家的重要經(jīng)驗經(jīng)驗 國家信息安全風(fēng)險評估有關(guān)政策介紹n開展信息安全風(fēng)險評估工作的意義開展信息安全風(fēng)險評估工作的意義n文件的主要內(nèi)容文件的主要內(nèi)容n下一步工作安排下一步工作安排國家信息安全風(fēng)險評估有關(guān)政策介紹n文件是集體智慧的結(jié)晶和實踐經(jīng)驗的總文件是集體智慧的結(jié)晶和實踐經(jīng)驗的總結(jié)結(jié) n風(fēng)險評估工作的內(nèi)容與形式風(fēng)險評估工作的內(nèi)容與形式 n開展信息安全風(fēng)險評估工作的基本要求開展信息安全風(fēng)險評估工作的基本要求n加強信息安全

4、風(fēng)險評估的基礎(chǔ)性工作加強信息安全風(fēng)險評估的基礎(chǔ)性工作 國家信息安全風(fēng)險評估有關(guān)政策介紹文件是集體智慧的結(jié)晶和實踐經(jīng)驗文件是集體智慧的結(jié)晶和實踐經(jīng)驗的總結(jié)的總結(jié)國家信息安全風(fēng)險評估有關(guān)政策介紹風(fēng)險評估工作的內(nèi)容與形式n信息安全風(fēng)險評估分為自評估和檢查評估兩種信息安全風(fēng)險評估分為自評估和檢查評估兩種形式。形式。n自評估是指網(wǎng)絡(luò)和信息系統(tǒng)的擁有、運營、使自評估是指網(wǎng)絡(luò)和信息系統(tǒng)的擁有、運營、使用單位發(fā)起的對本單位信息系統(tǒng)進行的風(fēng)險評用單位發(fā)起的對本單位信息系統(tǒng)進行的風(fēng)險評估。自評估是信息安全風(fēng)險評估的主要形式。估。自評估是信息安全風(fēng)險評估的主要形式。n檢查評估是指信息系統(tǒng)上級管理部門組織的或檢查評估

5、是指信息系統(tǒng)上級管理部門組織的或國家有關(guān)職能部門依法開展的信息安全風(fēng)險評國家有關(guān)職能部門依法開展的信息安全風(fēng)險評估。估。n自評估和檢查評估可以依靠自身技術(shù)力量進行,自評估和檢查評估可以依靠自身技術(shù)力量進行,也可委托第三方專業(yè)機構(gòu)提供技術(shù)支持。也可委托第三方專業(yè)機構(gòu)提供技術(shù)支持。 國家信息安全風(fēng)險評估有關(guān)政策介紹開展信息安全風(fēng)險評估工作開展信息安全風(fēng)險評估工作的基本要求的基本要求n信息安全風(fēng)險評估的實施要求信息安全風(fēng)險評估的實施要求n信息安全風(fēng)險評估的管理要求信息安全風(fēng)險評估的管理要求國家信息安全風(fēng)險評估有關(guān)政策介紹 n信息安全風(fēng)險評估工作應(yīng)當(dāng)貫穿信息系信息安全風(fēng)險評估工作應(yīng)當(dāng)貫穿信息系統(tǒng)全生命

6、周期。在信息系統(tǒng)規(guī)劃設(shè)計階統(tǒng)全生命周期。在信息系統(tǒng)規(guī)劃設(shè)計階段,通過信息安全風(fēng)險評估工作,可以段,通過信息安全風(fēng)險評估工作,可以明確信息系統(tǒng)的安全需求及其安全目標(biāo),明確信息系統(tǒng)的安全需求及其安全目標(biāo),有針對性地制定和部署安全措施,從而有針對性地制定和部署安全措施,從而避免產(chǎn)生欠保護或過保護的情況。避免產(chǎn)生欠保護或過保護的情況。 國家信息安全風(fēng)險評估有關(guān)政策介紹n在信息系統(tǒng)建設(shè)完成驗收時,通過風(fēng)險在信息系統(tǒng)建設(shè)完成驗收時,通過風(fēng)險評估工作可以檢驗信息系統(tǒng)是否實現(xiàn)了評估工作可以檢驗信息系統(tǒng)是否實現(xiàn)了所設(shè)計的安全功能,是否滿足了信息系所設(shè)計的安全功能,是否滿足了信息系統(tǒng)的安全需求并達到預(yù)期的安全目標(biāo)

7、。統(tǒng)的安全需求并達到預(yù)期的安全目標(biāo)。 國家信息安全風(fēng)險評估有關(guān)政策介紹 n由于信息技術(shù)的發(fā)展、信息系統(tǒng)業(yè)務(wù)以由于信息技術(shù)的發(fā)展、信息系統(tǒng)業(yè)務(wù)以及所處安全環(huán)境的變化,會不斷出現(xiàn)新及所處安全環(huán)境的變化,會不斷出現(xiàn)新的信息安全風(fēng)險,因此,在信息系統(tǒng)的的信息安全風(fēng)險,因此,在信息系統(tǒng)的運行階段,應(yīng)當(dāng)定期進行信息安全風(fēng)險運行階段,應(yīng)當(dāng)定期進行信息安全風(fēng)險評估,以檢驗安全措施的有效性以及對評估,以檢驗安全措施的有效性以及對安全環(huán)境的適應(yīng)性。當(dāng)安全形勢發(fā)生重安全環(huán)境的適應(yīng)性。當(dāng)安全形勢發(fā)生重大變化或信息系統(tǒng)使命有重大變更時,大變化或信息系統(tǒng)使命有重大變更時,應(yīng)及時進行信息安全風(fēng)險評估。應(yīng)及時進行信息安全風(fēng)險

8、評估。 國家信息安全風(fēng)險評估有關(guān)政策介紹 n信息安全風(fēng)險評估也是落實等級保護制信息安全風(fēng)險評估也是落實等級保護制度的重要手段,應(yīng)通過信息安全風(fēng)險評度的重要手段,應(yīng)通過信息安全風(fēng)險評估為信息系統(tǒng)確定安全等級提供依據(jù),估為信息系統(tǒng)確定安全等級提供依據(jù),根據(jù)風(fēng)險評估的結(jié)果檢驗網(wǎng)絡(luò)與信息系根據(jù)風(fēng)險評估的結(jié)果檢驗網(wǎng)絡(luò)與信息系統(tǒng)的防護水平是否符合等級保護的要求。統(tǒng)的防護水平是否符合等級保護的要求。國家信息安全風(fēng)險評估有關(guān)政策介紹開展信息安全風(fēng)險評估工作開展信息安全風(fēng)險評估工作的基本要求的基本要求n信息安全風(fēng)險評估的實施要求信息安全風(fēng)險評估的實施要求n信息安全風(fēng)險評估的管理要求信息安全風(fēng)險評估的管理要求國家

9、信息安全風(fēng)險評估有關(guān)政策介紹n信息安全風(fēng)險評估工作敏感性強,涉及信息安全風(fēng)險評估工作敏感性強,涉及系統(tǒng)的關(guān)鍵資產(chǎn)和核心信息,一旦處理系統(tǒng)的關(guān)鍵資產(chǎn)和核心信息,一旦處理不當(dāng),反而可能引入新的風(fēng)險,不當(dāng),反而可能引入新的風(fēng)險,意見意見強調(diào),必須高度重視信息安全風(fēng)險評估強調(diào),必須高度重視信息安全風(fēng)險評估的組織管理工作的組織管理工作 國家信息安全風(fēng)險評估有關(guān)政策介紹n為規(guī)避由于風(fēng)險評估工作而引入新的安全風(fēng)險,為規(guī)避由于風(fēng)險評估工作而引入新的安全風(fēng)險,意見意見提出以下要求:提出以下要求:1)參與信息安全風(fēng))參與信息安全風(fēng)險評估工作的單位及其有關(guān)人員必須遵守國家險評估工作的單位及其有關(guān)人員必須遵守國家有關(guān)

10、信息安全的法律法規(guī),并承擔(dān)相應(yīng)的責(zé)任有關(guān)信息安全的法律法規(guī),并承擔(dān)相應(yīng)的責(zé)任和義務(wù)。和義務(wù)。2)風(fēng)險評估工作的發(fā)起方必須采?。╋L(fēng)險評估工作的發(fā)起方必須采取相應(yīng)保密措施,并與參與評估的有關(guān)單位或人相應(yīng)保密措施,并與參與評估的有關(guān)單位或人員簽訂具有法律約束力的保密協(xié)議。員簽訂具有法律約束力的保密協(xié)議。3)對關(guān))對關(guān)系國計民生和社會穩(wěn)定的基礎(chǔ)信息網(wǎng)絡(luò)和重要系國計民生和社會穩(wěn)定的基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的信息安全風(fēng)險評估工作必須遵循國信息系統(tǒng)的信息安全風(fēng)險評估工作必須遵循國家的有關(guān)規(guī)定進行。家的有關(guān)規(guī)定進行。 國家信息安全風(fēng)險評估有關(guān)政策介紹加強信息安全風(fēng)險評估的基礎(chǔ)加強信息安全風(fēng)險評估的基礎(chǔ)性工作

11、性工作n要加快制定和完善信息安全風(fēng)險評估有要加快制定和完善信息安全風(fēng)險評估有關(guān)技術(shù)標(biāo)準(zhǔn),盡快完善并頒布關(guān)技術(shù)標(biāo)準(zhǔn),盡快完善并頒布信息安信息安全風(fēng)險評估指南全風(fēng)險評估指南和和信息安全風(fēng)險管信息安全風(fēng)險管理指南理指南等國家標(biāo)準(zhǔn),各行業(yè)主管部門等國家標(biāo)準(zhǔn),各行業(yè)主管部門也可根據(jù)本行業(yè)特點制定相應(yīng)的技術(shù)規(guī)也可根據(jù)本行業(yè)特點制定相應(yīng)的技術(shù)規(guī)范。范。 國家信息安全風(fēng)險評估有關(guān)政策介紹n要加強信息安全風(fēng)險評估核心技術(shù)、方法和工要加強信息安全風(fēng)險評估核心技術(shù)、方法和工具的研究與攻關(guān)。具的研究與攻關(guān)。 n要從抓試點開始,逐步探索組織實施和管理的要從抓試點開始,逐步探索組織實施和管理的經(jīng)驗,用三年左右的時間在我國

12、基礎(chǔ)信息網(wǎng)絡(luò)經(jīng)驗,用三年左右的時間在我國基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)普遍推行信息安全風(fēng)險評估工和重要信息系統(tǒng)普遍推行信息安全風(fēng)險評估工作,全面提高我國信息安全的科學(xué)管理水平,作,全面提高我國信息安全的科學(xué)管理水平,提升網(wǎng)絡(luò)和信息系統(tǒng)安全保障能力,為保障和提升網(wǎng)絡(luò)和信息系統(tǒng)安全保障能力,為保障和促進我國信息化發(fā)展服務(wù)。促進我國信息化發(fā)展服務(wù)。 國家信息安全風(fēng)險評估有關(guān)政策介紹n開展信息安全風(fēng)險評估工作的意義開展信息安全風(fēng)險評估工作的意義n文件的主要內(nèi)容文件的主要內(nèi)容n下一步工作安排下一步工作安排國家信息安全風(fēng)險評估有關(guān)政策介紹n圍繞著意見的貫徹落實,國務(wù)院信息辦圍繞著意見的貫徹落實,國務(wù)院信息辦今

13、年將著重抓好以下三個方面的工作今年將著重抓好以下三個方面的工作 國家信息安全風(fēng)險評估有關(guān)政策介紹n一是組織一是組織意見意見宣傳貫徹,擬分批在宣傳貫徹,擬分批在北京和云南召開宣貫會,組織專家就北京和云南召開宣貫會,組織專家就意見意見的主要精神進行宣講。同時,的主要精神進行宣講。同時,積極推動積極推動信息安全風(fēng)險評估指南信息安全風(fēng)險評估指南的的頒布,在頒布,在指南指南正式頒布前以國信辦正式頒布前以國信辦文件的形式將文件的形式將指南指南征求意見稿在內(nèi)征求意見稿在內(nèi)部印發(fā),供大家參考。部印發(fā),供大家參考。國家信息安全風(fēng)險評估有關(guān)政策介紹n二是組織成立信息安全風(fēng)險評估專家組。二是組織成立信息安全風(fēng)險評估

14、專家組。專家組的任務(wù)重點是抓好信息安全風(fēng)險專家組的任務(wù)重點是抓好信息安全風(fēng)險評估的技術(shù)培訓(xùn)、技術(shù)交流和教材的編評估的技術(shù)培訓(xùn)、技術(shù)交流和教材的編寫;同時,開展面上的調(diào)研和指導(dǎo),為寫;同時,開展面上的調(diào)研和指導(dǎo),為各部門和地方的信息安全風(fēng)險評估工作各部門和地方的信息安全風(fēng)險評估工作提供技術(shù)咨詢。提供技術(shù)咨詢。 國家信息安全風(fēng)險評估有關(guān)政策介紹n三是抓好基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國計民生三是抓好基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國計民生的重要信息系統(tǒng)的信息安全風(fēng)險評估工的重要信息系統(tǒng)的信息安全風(fēng)險評估工作。這項工作我們還將召開會議作專門作。這項工作我們還將召開會議作專門部署。部署。 國家信息安全風(fēng)險評估有關(guān)政策介紹n推進

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論