我國(guó)信息安全風(fēng)險(xiǎn)評(píng)估工作的現(xiàn)狀與發(fā)展

我國(guó)信息安全風(fēng)險(xiǎn)評(píng)估工作的現(xiàn)狀與發(fā)展國(guó)家信息中心信息安全研究與服務(wù)中心吳亞非一、信息安全風(fēng)險(xiǎn)評(píng)估概述二、為什么要做信息安全風(fēng)險(xiǎn)評(píng)估三、我國(guó)信息安全風(fēng)險(xiǎn)評(píng)估回顧四、信息安全風(fēng)險(xiǎn)評(píng)估今后三年的發(fā)展信息安全風(fēng)險(xiǎn)評(píng)估的概念信息系統(tǒng)的安全風(fēng)險(xiǎn)信息系統(tǒng)的安全風(fēng)險(xiǎn)，是指由于系統(tǒng)存在的脆弱性，人為或自然的威脅導(dǎo)致安全事件發(fā)生的可能性及其造成的影響。

信息安全風(fēng)險(xiǎn)評(píng)估

是指依據(jù)國(guó)家有關(guān)信息技術(shù)標(biāo)準(zhǔn)，對(duì)信息系統(tǒng)及由其處理、傳輸和存儲(chǔ)的信息的保密性、完整性和可用性等安全屬性進(jìn)行科學(xué)評(píng)價(jià)的過(guò)程它要評(píng)估信息系統(tǒng)的脆弱性、信息系統(tǒng)面臨的威脅以及脆弱性被威脅源利用后所產(chǎn)生的實(shí)際負(fù)面影響，并根據(jù)安全事件發(fā)生的可能性和負(fù)面影響的程度來(lái)識(shí)別信息系統(tǒng)的安全風(fēng)險(xiǎn)。信息安全風(fēng)險(xiǎn)評(píng)估人們的認(rèn)識(shí)能力和實(shí)踐能力是有局限性的，因此，信息系統(tǒng)存在脆弱性是不可避免的。信息系統(tǒng)的價(jià)值及其存在的脆弱性，使信息系統(tǒng)在現(xiàn)實(shí)環(huán)境中，總要面臨各種人為與自然的威脅，存在安全風(fēng)險(xiǎn)也是必然的。信息安全建設(shè)的宗旨之一，就是在綜合考慮成本與效益的前提下，通過(guò)安全措施來(lái)控制風(fēng)險(xiǎn)，使殘余風(fēng)險(xiǎn)降低到可接受的程度。信息安全風(fēng)險(xiǎn)評(píng)估因?yàn)槿魏涡畔⑾到y(tǒng)都會(huì)有安全風(fēng)險(xiǎn)，所以，人們追求的所謂安全的信息系統(tǒng)，實(shí)際是指信息系統(tǒng)在實(shí)施了風(fēng)險(xiǎn)評(píng)估并做出風(fēng)險(xiǎn)控制后，仍然存在的殘余風(fēng)險(xiǎn)可被接受的信息系統(tǒng)。因此，要追求信息系統(tǒng)的安全，就不能脫離全面、完整的信息系統(tǒng)的安全評(píng)估，就必須運(yùn)用信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的思想和規(guī)范，對(duì)信息系統(tǒng)開展安全風(fēng)險(xiǎn)評(píng)估。

風(fēng)險(xiǎn)評(píng)估的意義和作用1.風(fēng)險(xiǎn)評(píng)估是信息系統(tǒng)安全的基礎(chǔ)性工作信息安全中的風(fēng)險(xiǎn)評(píng)估是傳統(tǒng)的風(fēng)險(xiǎn)理論和方法在信息系統(tǒng)中的運(yùn)用，是科學(xué)地分析和理解信息與信息系統(tǒng)在保密性、完整性、可用性等方面所面臨的風(fēng)險(xiǎn)，并在風(fēng)險(xiǎn)的減少、轉(zhuǎn)移和規(guī)避等風(fēng)險(xiǎn)控制方法之間做出決策的過(guò)程。風(fēng)險(xiǎn)評(píng)估將導(dǎo)出信息系統(tǒng)的安全需求，因此，所有信息安全建設(shè)都應(yīng)該以風(fēng)險(xiǎn)評(píng)估為起點(diǎn)。信息安全建設(shè)的最終目的是服務(wù)于信息化，但其直接目的是為了控制安全風(fēng)險(xiǎn)。風(fēng)險(xiǎn)評(píng)估的意義和作用只有在正確、全面地了解和理解安全風(fēng)險(xiǎn)后，才能決定如何處理安全風(fēng)險(xiǎn)，從而在信息安全的投資、信息安全措施的選擇、信息安全保障體系的建設(shè)等問題中做出合理的決策。進(jìn)一步，持續(xù)的風(fēng)險(xiǎn)評(píng)估工作可以成為檢查信息系統(tǒng)本身乃至信息系統(tǒng)擁有單位的績(jī)效的有力手段，風(fēng)險(xiǎn)評(píng)估的結(jié)果能夠供相關(guān)主管單位參考，并使主管單位通過(guò)行政手段對(duì)信息系統(tǒng)的立項(xiàng)、投資、運(yùn)行產(chǎn)生影響，促進(jìn)信息系統(tǒng)擁有單位加強(qiáng)信息安全建設(shè)。風(fēng)險(xiǎn)評(píng)估的意義和作用2.風(fēng)險(xiǎn)評(píng)估是分級(jí)防護(hù)和突出重點(diǎn)的具體體現(xiàn)信息安全建設(shè)的基本原則包括必須從實(shí)際出發(fā)，堅(jiān)持分級(jí)防護(hù)、突出重點(diǎn)。風(fēng)險(xiǎn)評(píng)估正是這一要求在實(shí)際工作中的具體體現(xiàn)。從理論上講，不存在絕對(duì)的安全，實(shí)踐中也不可能做到絕對(duì)安全，風(fēng)險(xiǎn)總是客觀存在的。安全是風(fēng)險(xiǎn)與成本的綜合平衡。盲目追求安全和完全回避風(fēng)險(xiǎn)是不現(xiàn)實(shí)的，也不是分級(jí)防護(hù)原則所要求的。要從實(shí)際出發(fā)，堅(jiān)持分級(jí)防護(hù)、突出重點(diǎn)，就必須正確地評(píng)估風(fēng)險(xiǎn)，以便采取科學(xué)、客觀、經(jīng)濟(jì)和有效的措施。風(fēng)險(xiǎn)評(píng)估的意義和作用3.加強(qiáng)風(fēng)險(xiǎn)評(píng)估工作是當(dāng)前信息安全工作的客觀需要和緊迫需求由于信息技術(shù)的飛速發(fā)展，關(guān)系國(guó)計(jì)民生的關(guān)鍵信息基礎(chǔ)設(shè)施的規(guī)模越來(lái)越大，同時(shí)也極大地增加了系統(tǒng)的復(fù)雜程度。發(fā)達(dá)國(guó)家越來(lái)越重視信息安全風(fēng)險(xiǎn)評(píng)估工作，提倡風(fēng)險(xiǎn)評(píng)估制度化。他們提出，沒有有效的風(fēng)險(xiǎn)評(píng)估，便會(huì)導(dǎo)致信息安全需求與安全解決方案的嚴(yán)重脫離。因此，他們強(qiáng)調(diào)“沒有任何事情比解決錯(cuò)誤的問題和建立錯(cuò)誤的系統(tǒng)更沒有效率的了?！边@些發(fā)達(dá)國(guó)家近年來(lái)大力加強(qiáng)了以風(fēng)險(xiǎn)評(píng)估為核心的信息系統(tǒng)安全評(píng)估工作，并通過(guò)法規(guī)、標(biāo)準(zhǔn)手段加以保障，逐步以此形成了橫跨立法、行政、司法的完整的信息安全管理體系。在我國(guó)目前的國(guó)情下，為加強(qiáng)宏觀信息安全管理，促進(jìn)信息安全保障體系建設(shè)，就必須加強(qiáng)風(fēng)險(xiǎn)評(píng)估工作，并逐步使風(fēng)險(xiǎn)評(píng)估工作朝向制度化的方向發(fā)展。信息息安安全全風(fēng)風(fēng)險(xiǎn)險(xiǎn)評(píng)評(píng)估估的的目目標(biāo)標(biāo)和和目目的的信息息系系統(tǒng)統(tǒng)安安全全風(fēng)風(fēng)險(xiǎn)險(xiǎn)評(píng)評(píng)估估的的總總體體目目標(biāo)標(biāo)是是：：服務(wù)務(wù)于于國(guó)國(guó)家家信信息息化化發(fā)發(fā)展展，，促促進(jìn)進(jìn)信信息息安安全全保保障障體體系系的的建建設(shè)設(shè)，，提提高高信信息息系系統(tǒng)統(tǒng)的的安安全全保保護(hù)護(hù)能能力力。。信息系統(tǒng)安安全風(fēng)險(xiǎn)評(píng)評(píng)估的目的的是：認(rèn)清信息安安全環(huán)境、、信息安全全狀況；有有助于達(dá)成成共識(shí)，明明確責(zé)任；；采取或完完善安全保保障措施，，使其更加加經(jīng)濟(jì)有效效，并使信信息安全策策略保持一一致性和持持續(xù)性。信息安全風(fēng)風(fēng)險(xiǎn)評(píng)估的的基本要素素使命：一個(gè)單位通通過(guò)信息化化實(shí)現(xiàn)的工工作任務(wù)。。依賴度：一個(gè)單位位的使命對(duì)對(duì)信息系統(tǒng)統(tǒng)和信息的的依靠程度度。資產(chǎn)：通過(guò)信息化化建設(shè)積累累起來(lái)的信信息系統(tǒng)、、信息、生生產(chǎn)或服務(wù)務(wù)能力、人人員能力和和贏得的信信譽(yù)等。價(jià)值：資產(chǎn)的重要要程度和敏敏感程度。。威脅：一個(gè)單位的的信息資產(chǎn)產(chǎn)的安全可可能受到的的侵害。威威脅由多種種屬性來(lái)刻刻畫：威脅脅的主體（（威脅源））、能力、、資源、動(dòng)動(dòng)機(jī)、途徑徑、可能性性和后果。。信息安全風(fēng)風(fēng)險(xiǎn)評(píng)估的的基本要素素脆弱性：信息資產(chǎn)及及其防護(hù)措措施在安全全方面的不不足和弱點(diǎn)點(diǎn)。脆弱性性也常常被被稱為漏洞洞。風(fēng)險(xiǎn)：由于系統(tǒng)存存在的脆弱弱性，人為為或自然的的威脅導(dǎo)致致安全事件件發(fā)生的可可能性及其其造成的影影響。它由由安全事件件發(fā)生的可可能性及其其造成的影影響這兩種種指標(biāo)來(lái)衡衡量。殘余風(fēng)險(xiǎn)：：采取了安全全防護(hù)措施施，提高了了防護(hù)能力力后，仍然然可能存在在的風(fēng)險(xiǎn)。。信息安全風(fēng)風(fēng)險(xiǎn)評(píng)估的的基本要素素安全需求：：為保證單位位的使命能能夠正常行行使，在信信息安全防防護(hù)措施方方面提出的的要求。安全防護(hù)措措施：對(duì)付威脅，，減少脆弱弱性，保護(hù)護(hù)資產(chǎn)，限限制意外事事件的影響響，檢測(cè)、、響應(yīng)意外外事件，促促進(jìn)災(zāi)難恢恢復(fù)和打擊擊信息犯罪罪而實(shí)施的的各種實(shí)踐踐、規(guī)程和和機(jī)制的總總稱。風(fēng)險(xiǎn)評(píng)估對(duì)對(duì)信息系統(tǒng)統(tǒng)生命周期期的支持生命周期階段階段特征來(lái)自風(fēng)險(xiǎn)管理活動(dòng)的支持階段1——規(guī)劃和啟動(dòng)提出信息系統(tǒng)的目的、需求、規(guī)模和安全要求。風(fēng)險(xiǎn)評(píng)估活動(dòng)可用于確定信息系統(tǒng)安全需求。階段2——設(shè)計(jì)開發(fā)或采購(gòu)信息系統(tǒng)設(shè)計(jì)、購(gòu)買、開發(fā)或建造。在本階段標(biāo)識(shí)的風(fēng)險(xiǎn)可以用來(lái)為信息系統(tǒng)的安全分析提供支持，這可能會(huì)影響到系統(tǒng)在開發(fā)過(guò)程中要對(duì)體系結(jié)構(gòu)和設(shè)計(jì)方案進(jìn)行權(quán)衡。階段3——集成實(shí)現(xiàn)信息系統(tǒng)的安全特性應(yīng)該被配置、激活、測(cè)試并得到驗(yàn)證。風(fēng)險(xiǎn)評(píng)估可支持對(duì)系統(tǒng)實(shí)現(xiàn)效果的評(píng)價(jià)，考察其是否能滿足要求，并考察系統(tǒng)所運(yùn)行的環(huán)境是否是預(yù)期設(shè)計(jì)的。有關(guān)風(fēng)險(xiǎn)的一系列決策必須在系統(tǒng)運(yùn)行之前做出。階段4——運(yùn)行和維護(hù)信息系統(tǒng)開始執(zhí)行其功能，一般情況下系統(tǒng)要不斷修改，添加硬件和軟件，或改變機(jī)構(gòu)的運(yùn)行規(guī)則、策略或流程等。當(dāng)定期對(duì)系統(tǒng)進(jìn)行重新評(píng)估時(shí)，或者信息系統(tǒng)在其運(yùn)行性生產(chǎn)環(huán)境（例如新的系統(tǒng)接口）中做出重大變更時(shí)，要對(duì)其進(jìn)行風(fēng)險(xiǎn)評(píng)估活動(dòng)。階段5——廢棄本階段涉及到對(duì)信息、硬件和軟件的廢棄。這些活動(dòng)可能包括信息的移動(dòng)、備份、丟棄、破壞以及對(duì)硬件和軟件進(jìn)行的密級(jí)處理。當(dāng)要廢棄或替換系統(tǒng)組件時(shí)，要對(duì)其進(jìn)行風(fēng)險(xiǎn)評(píng)估，以確保硬件和軟件得到了適當(dāng)?shù)膹U棄處置，且殘留信息也恰當(dāng)?shù)剡M(jìn)行了處理。并且要確保系統(tǒng)的更新?lián)Q代能以一個(gè)安全和系統(tǒng)化的方式完成。在實(shí)施風(fēng)險(xiǎn)險(xiǎn)評(píng)估中，，有時(shí)首先先根據(jù)不同同級(jí)別的威威脅對(duì)不同同價(jià)值的資資產(chǎn)可能形形成的風(fēng)險(xiǎn)險(xiǎn)進(jìn)行分級(jí)級(jí)，進(jìn)而選選擇適合級(jí)級(jí)別的保證證措施。這這是一種安安全需求提提煉的過(guò)程程。對(duì)于計(jì)劃和和已經(jīng)建設(shè)設(shè)的系統(tǒng)，，則應(yīng)該考考慮和分析析測(cè)試系統(tǒng)統(tǒng)可能存在在的脆弱性性。上述工作流流程應(yīng)該是是一個(gè)不斷斷重復(fù)的循循環(huán)過(guò)程，，從不同階階段進(jìn)入風(fēng)風(fēng)險(xiǎn)評(píng)估工工作也可能能進(jìn)行簡(jiǎn)化化其中的某某些步驟。。風(fēng)險(xiǎn)評(píng)估理理論和工具具通俗的講，，信息系統(tǒng)統(tǒng)安全追求求的是入侵侵和破壞行行為，面對(duì)對(duì)信息系統(tǒng)統(tǒng)和信息，，進(jìn)不來(lái)，，看不懂，，拿不走，，搞不亂。。風(fēng)險(xiǎn)評(píng)估的的理論和工工具也應(yīng)該該針對(duì)這些些基本的安安全要求，，提供檢測(cè)測(cè)、判斷、、分析。當(dāng)前，國(guó)際際上提出了了一些廣義義傳統(tǒng)的風(fēng)風(fēng)險(xiǎn)評(píng)估的的理論（并并非特別針針對(duì)信息系系統(tǒng)安全））。從計(jì)算方法法區(qū)分，有有定性的方方法、定量量的方法和和部分定量量的方法。。從實(shí)施手段段區(qū)分，有有基于樹的的技術(shù)、動(dòng)動(dòng)態(tài)系統(tǒng)的的技術(shù)等。。定性的方法法包括：初步的風(fēng)險(xiǎn)險(xiǎn)分析（PreliminaryRiskAnalysis）危險(xiǎn)和可操操作性研究究（HazardandOperabilitystudies(HAZOP)）失效模式及及影響分析析（FailureModeandEffectsAnalysis(FMEA/FMECA)）基于樹的技技術(shù)（TreeBasedTechniques）包包括：故障樹分析析（Faulttreeanalysis））事件樹分析析（Eventtreeanalysis））因果分析（Cause-ConsequenceAnalysis）管理失敗風(fēng)風(fēng)險(xiǎn)樹（ManagementOversightRiskTree））安全管理組組織檢查技技術(shù)（SafetyManagementOrganizationReviewTechnique））動(dòng)態(tài)系統(tǒng)的的技術(shù)（TechniquesforDynamicsystem）包括：嘗試方法（GoMethod）有向圖/故故障圖（Digraph/FaultGraph））馬爾可夫建建模（MarkovModeling））動(dòng)態(tài)事件邏邏輯分析方方法學(xué)（DynamicEventLogicAnalyticalMethodology）動(dòng)態(tài)事件樹樹分析方法法（DynamicEventTreeAnalysisMethod）評(píng)估工具目目前存在以以下幾類：：掃描工具：：包括主機(jī)掃掃描、網(wǎng)絡(luò)絡(luò)掃描、數(shù)數(shù)據(jù)庫(kù)掃描描，用于分分析系統(tǒng)的的常見漏洞洞；入侵檢測(cè)系系統(tǒng)（IDS）：用于收集與與統(tǒng)計(jì)威脅脅數(shù)據(jù)；滲透性測(cè)試試工具：黑客工具，，用于人工工滲透，評(píng)評(píng)估系統(tǒng)的的深層次漏漏洞；主機(jī)安全性性審計(jì)工具具：用于分析主主機(jī)系統(tǒng)配配置的安全全性；安全管理評(píng)評(píng)價(jià)系統(tǒng)：：用于安全訪訪談，評(píng)價(jià)價(jià)安全管理理措施；風(fēng)險(xiǎn)綜合分分析系統(tǒng)：：在基礎(chǔ)數(shù)據(jù)據(jù)基礎(chǔ)上，，定量、綜綜合分析系系統(tǒng)的風(fēng)險(xiǎn)險(xiǎn)，并且提提供分類統(tǒng)統(tǒng)計(jì)、查詢?cè)?、TOPN查詢?cè)円约皥?bào)表表輸出功能能；評(píng)估支撐環(huán)環(huán)境工具:評(píng)估指標(biāo)庫(kù)庫(kù)、知識(shí)庫(kù)庫(kù)、漏洞庫(kù)庫(kù)、算法庫(kù)庫(kù)、模型庫(kù)庫(kù)。綜觀這些理理論和工具具的現(xiàn)狀，，存在的問問題是：尚缺乏模型型化和形式式化描述及及證明的科科學(xué)深度；；需要解決一一般化的廣廣義的理論論如何用于于信息系統(tǒng)統(tǒng)的安全風(fēng)風(fēng)險(xiǎn)評(píng)估；；定性，定量量的理論方方法如何更更加有效；；工具運(yùn)用的的結(jié)果如何何能夠反映映實(shí)質(zhì)，有有效測(cè)度，，準(zhǔn)確無(wú)誤誤；工具的使用用如何能夠夠綜合協(xié)調(diào)調(diào)。二、為什么么要做信息息安全風(fēng)險(xiǎn)險(xiǎn)評(píng)估為什么要做做信息安全全風(fēng)險(xiǎn)評(píng)估估第一，風(fēng)險(xiǎn)險(xiǎn)評(píng)估是分分析確定風(fēng)風(fēng)險(xiǎn)的過(guò)程程。風(fēng)險(xiǎn)是是客觀存在在的，在日日常生活和和工作中隨隨處可見。。為了了解解系統(tǒng)究竟竟面臨什么么風(fēng)險(xiǎn)、有有多大風(fēng)險(xiǎn)險(xiǎn)，以及應(yīng)應(yīng)該采取什什么樣的措措施去減少少、化解或或規(guī)避風(fēng)險(xiǎn)險(xiǎn)，人們經(jīng)經(jīng)常會(huì)提出出這樣一些些問題：什什么地方、、什么時(shí)間間可能出問問題？會(huì)出出什么性質(zhì)質(zhì)的問題？？出問題的的可能性有有多大？這這些問題可可能產(chǎn)生的的后果是什什么？應(yīng)該該采取什么么樣的措施施加以避免免和彌補(bǔ)？？并總是試試圖找出最最合理的答答案。這個(gè)個(gè)過(guò)程實(shí)際際就是風(fēng)險(xiǎn)險(xiǎn)評(píng)估為什么要做做信息安全全風(fēng)險(xiǎn)評(píng)估估第二，信息息安全風(fēng)險(xiǎn)險(xiǎn)評(píng)估是信信息安全建建設(shè)的起點(diǎn)點(diǎn)和基礎(chǔ)，，對(duì)于信息息系統(tǒng)也是是如此。所所有信息安安全建設(shè)和和管理都應(yīng)應(yīng)該基于信信息安全風(fēng)風(fēng)險(xiǎn)評(píng)估，，只有這樣樣，信息安安全建設(shè)才才能做到從從實(shí)際出發(fā)發(fā)，才能堅(jiān)堅(jiān)持需求主主導(dǎo)、突出出重點(diǎn)，才才能以最小小的代價(jià)去去最大程度度地保障信信息安全。。為什么要要做信息息安全風(fēng)風(fēng)險(xiǎn)評(píng)估估第三，信信息安全全風(fēng)險(xiǎn)評(píng)評(píng)估是信信息安全全建設(shè)和和管理的的科學(xué)方方法。風(fēng)風(fēng)險(xiǎn)評(píng)估估提供了了這么一一種方法法，它是是我們傳傳統(tǒng)經(jīng)驗(yàn)驗(yàn)方法的的總結(jié)和和提升，，是風(fēng)險(xiǎn)險(xiǎn)理論和和技術(shù)的的具體應(yīng)應(yīng)用。信息安全全的一個(gè)個(gè)最大特特點(diǎn)就是是看不見見摸不著著。在不不知不覺覺中就已已經(jīng)中了了招，在在不知不不覺中就就已經(jīng)遭遭受了重重大損失失。信息安全全要講加加強(qiáng)領(lǐng)導(dǎo)導(dǎo)，要講講責(zé)任制制，但如如果沒有有科學(xué)的的方法和和手段，，即使領(lǐng)領(lǐng)導(dǎo)現(xiàn)場(chǎng)場(chǎng)坐鎮(zhèn)，，即使人人盯死守守，也仍仍然可能能發(fā)現(xiàn)不不了問題題，也仍仍然可能能出問題題。這就就是27號(hào)文件件強(qiáng)調(diào)管管理與技技術(shù)并重重的根本本原因。。為什么要要做信息息安全風(fēng)風(fēng)險(xiǎn)評(píng)估估第四，風(fēng)風(fēng)險(xiǎn)評(píng)估估實(shí)際上上是在倡倡導(dǎo)一種種適度安安全。從從理論上上講，不不存在絕絕對(duì)的安安全，風(fēng)風(fēng)險(xiǎn)總是是客觀存存在的。。風(fēng)險(xiǎn)評(píng)評(píng)估并不不追求零零風(fēng)險(xiǎn)、、不計(jì)成成本的絕絕對(duì)安全全，或者者試圖完完全消滅滅風(fēng)險(xiǎn)或或避免風(fēng)風(fēng)險(xiǎn)。信息安全全風(fēng)險(xiǎn)評(píng)評(píng)估要求求在認(rèn)清清風(fēng)險(xiǎn)的的基礎(chǔ)上上，決定定哪些風(fēng)風(fēng)險(xiǎn)是必必須要避避免的，，哪些風(fēng)風(fēng)險(xiǎn)是可可以容忍忍的。也也就是說(shuō)說(shuō)，信息息安全風(fēng)風(fēng)險(xiǎn)評(píng)估估要求我我們算賬賬，要求求我們?cè)谠陲L(fēng)險(xiǎn)與與建設(shè)和和管理成成本之間間尋求一一個(gè)最佳佳平衡點(diǎn)點(diǎn)。這體現(xiàn)了了信息安安全的一一個(gè)基本本原則，，就是堅(jiān)堅(jiān)持從實(shí)實(shí)際出發(fā)發(fā)，堅(jiān)持持有針對(duì)對(duì)性地進(jìn)進(jìn)行信息息安全建建設(shè)和管管理。這這也就是是適度安安全。為什么要要做信息息安全風(fēng)風(fēng)險(xiǎn)評(píng)估估第五，重重視風(fēng)險(xiǎn)險(xiǎn)評(píng)估是是信息化化發(fā)達(dá)國(guó)國(guó)家的重重要經(jīng)驗(yàn)驗(yàn)。早在在上個(gè)世世紀(jì)70年代初初期美國(guó)國(guó)政府就就提出了了風(fēng)險(xiǎn)評(píng)評(píng)估的要要求，2002年頒布布的《2002聯(lián)邦信信息安全全管理法法》對(duì)信信息安全全風(fēng)險(xiǎn)評(píng)評(píng)估提出出了更加加具體的的要求。。歐洲等等其他信信息化發(fā)發(fā)達(dá)國(guó)家家也非常常重視開開展信息息安全風(fēng)風(fēng)險(xiǎn)評(píng)估估工作，，將開展展信息安安全風(fēng)險(xiǎn)險(xiǎn)評(píng)估工工作作為為提高信信息安全全保障水水平的重重要手段段。發(fā)達(dá)達(dá)國(guó)家的的這些經(jīng)經(jīng)驗(yàn)值得得我們學(xué)學(xué)習(xí)和借借鑒。為什么要要做信息息安全風(fēng)風(fēng)險(xiǎn)評(píng)估估2005年2月月，美國(guó)國(guó)總統(tǒng)信信息技術(shù)術(shù)顧問委委員會(huì)（（PITAC））向美國(guó)國(guó)總統(tǒng)提提交了一一份研究究報(bào)告《《網(wǎng)絡(luò)空空間安全全：迫在在眉睫的的危機(jī)》》，提出出美國(guó)目目前網(wǎng)絡(luò)絡(luò)空間安安全所面面臨的重重大問題題包括：：1、IT基礎(chǔ)設(shè)設(shè)施在恐恐怖和敵敵對(duì)攻擊擊面前非非常脆弱弱2、網(wǎng)絡(luò)絡(luò)漏洞和和網(wǎng)絡(luò)攻攻擊增長(zhǎng)長(zhǎng)速度非非?？欤ǎ?0％％－40％）3、無(wú)所所不在的的互聯(lián)意意味著處處處可能能存在安安全漏洞洞4、軟件件是主要要漏洞的的所在5、無(wú)窮窮無(wú)盡的的打補(bǔ)丁丁并不是是好的解解決辦法法6、需要要新的基基礎(chǔ)性安安全模型型和方法法7、聯(lián)邦邦政府在在研發(fā)工工作中的的核心地地位8、網(wǎng)絡(luò)絡(luò)空間安安全的非非技術(shù)因因素為了應(yīng)對(duì)對(duì)這些威威脅，在在《網(wǎng)絡(luò)絡(luò)空間安安全：迫迫在眉睫睫的危機(jī)機(jī)》報(bào)告告中，PITAC提出出了10大優(yōu)先先研究項(xiàng)項(xiàng)目，其其中信息息安全風(fēng)風(fēng)險(xiǎn)評(píng)估估位列其其中。其其主要研研究?jī)?nèi)容容包括：：（1）開開發(fā)網(wǎng)絡(luò)絡(luò)空間安安全測(cè)試試方法、、評(píng)估標(biāo)標(biāo)準(zhǔn)（2）風(fēng)風(fēng)險(xiǎn)分析析方法和和基于不不同領(lǐng)域域的評(píng)估估方法（（政治、、軍事、、經(jīng)濟(jì)等等）（3）安安全風(fēng)險(xiǎn)險(xiǎn)以及一一致性檢檢查的自自動(dòng)評(píng)估估工具的的研發(fā)（4）對(duì)對(duì)易受到到攻擊對(duì)對(duì)象的評(píng)評(píng)估研究究工作，，如源代代碼掃描描工具（5）通通過(guò)研究究過(guò)程管管理、配配置管理理和補(bǔ)丁丁管理的的最佳策策略方案案，來(lái)發(fā)發(fā)現(xiàn)并提提供有效效的安全全管理實(shí)實(shí)施方案案為什么要要做信息息安全風(fēng)風(fēng)險(xiǎn)評(píng)估估三、我國(guó)國(guó)信息安安全風(fēng)險(xiǎn)險(xiǎn)評(píng)估回回顧調(diào)查與研研究標(biāo)準(zhǔn)編制制與試點(diǎn)點(diǎn)政策文件件起草我國(guó)信息息安全風(fēng)風(fēng)險(xiǎn)評(píng)估估回顧2003年7月月《國(guó)家家信息化化領(lǐng)導(dǎo)小小組關(guān)于于加強(qiáng)信信息安全全保障工工作的意意見》（（中辦發(fā)發(fā)［2003］］27號(hào)號(hào)）中專專門提出出開展風(fēng)風(fēng)險(xiǎn)評(píng)估估的要求求：對(duì)網(wǎng)絡(luò)與與信息系系統(tǒng)安全全的潛在在威脅、、薄弱環(huán)環(huán)節(jié)、防防護(hù)措施施等進(jìn)行行分析評(píng)評(píng)估，綜綜合考慮慮網(wǎng)絡(luò)與與信息系系統(tǒng)的重重要性、、涉密程程度和面面臨的風(fēng)風(fēng)險(xiǎn)等因因素，進(jìn)進(jìn)行相應(yīng)應(yīng)等級(jí)的的安全建建設(shè)和管管理調(diào)查研究究工作國(guó)信辦安安全組為為落實(shí)中中辦發(fā)2003[27]號(hào)文文件的要要求，于于2003年7月決定定委托國(guó)國(guó)家信息息中心組組建“信信息安全全風(fēng)險(xiǎn)評(píng)評(píng)估課題題組”，，對(duì)我國(guó)國(guó)信息安安全風(fēng)險(xiǎn)險(xiǎn)評(píng)估工工作的現(xiàn)現(xiàn)狀進(jìn)行行調(diào)查，，提出我我國(guó)開展展風(fēng)險(xiǎn)評(píng)評(píng)估的對(duì)對(duì)策和辦辦法成員單位位：國(guó)家家信息中中心、公公安部、、安全部部、信息息產(chǎn)業(yè)部部、國(guó)家家認(rèn)監(jiān)委委、國(guó)家家標(biāo)準(zhǔn)化化委、國(guó)國(guó)家密碼碼管理局局、國(guó)家家保密局局、國(guó)家家計(jì)算機(jī)機(jī)網(wǎng)絡(luò)與與信息安安全中心心、中國(guó)國(guó)信息安安全產(chǎn)品品測(cè)評(píng)認(rèn)認(rèn)證中心心、北京京市信息息辦、解解放軍測(cè)測(cè)評(píng)認(rèn)證證中心調(diào)查研究究工作課題組先先后對(duì)四四個(gè)地區(qū)區(qū)(北京京、廣州州、深圳圳和上海海)，十十幾個(gè)行行業(yè)的50多家家單位進(jìn)進(jìn)行了調(diào)調(diào)查完成了《《信息安安全風(fēng)險(xiǎn)險(xiǎn)評(píng)估調(diào)調(diào)查報(bào)告告》、《《信息安安全風(fēng)險(xiǎn)險(xiǎn)評(píng)估研研究報(bào)告告》和《《關(guān)于加加強(qiáng)信息息安全風(fēng)風(fēng)險(xiǎn)評(píng)估估工作的的建議》》稿調(diào)查報(bào)告告反映的的主要情情況及問問題被調(diào)查單單位信息息化程度度各有不不同對(duì)風(fēng)險(xiǎn)評(píng)評(píng)估的重重視程度度與信息息化程度度成正比比關(guān)系國(guó)內(nèi)現(xiàn)階階段風(fēng)險(xiǎn)險(xiǎn)評(píng)估狀狀況風(fēng)險(xiǎn)評(píng)估估已逐漸漸成為信信息安全全的一個(gè)個(gè)新的點(diǎn)點(diǎn)發(fā)現(xiàn)的八八個(gè)問題題，其中中評(píng)估流流程不規(guī)規(guī)范是一一大問題題研究報(bào)告告的主要要內(nèi)容信息系統(tǒng)統(tǒng)安全風(fēng)風(fēng)險(xiǎn)評(píng)估估的概念念風(fēng)險(xiǎn)評(píng)估估的意義義和作用用信息安全全風(fēng)險(xiǎn)評(píng)評(píng)估的目目標(biāo)和目目的信息安全全風(fēng)險(xiǎn)評(píng)評(píng)估的基基本要素素風(fēng)險(xiǎn)評(píng)估估對(duì)信息息系統(tǒng)生生命周期期的支持持風(fēng)險(xiǎn)評(píng)估估的一般般工作流流程當(dāng)前存在在的風(fēng)險(xiǎn)險(xiǎn)評(píng)估理理論和工工具我國(guó)信息息系統(tǒng)安安全風(fēng)險(xiǎn)險(xiǎn)評(píng)估的的現(xiàn)狀和和問題信息安全全風(fēng)險(xiǎn)評(píng)評(píng)估工作作的原則則等級(jí)保護(hù)護(hù)、認(rèn)證證認(rèn)可、、風(fēng)險(xiǎn)管管理、風(fēng)風(fēng)險(xiǎn)評(píng)估估的關(guān)系系自評(píng)估、、強(qiáng)制性性檢查評(píng)評(píng)估與委委托評(píng)估估信息系統(tǒng)統(tǒng)安全風(fēng)風(fēng)險(xiǎn)評(píng)估估的角色色和責(zé)任任信息安全全風(fēng)險(xiǎn)評(píng)評(píng)估的任任務(wù)和措措施對(duì)風(fēng)險(xiǎn)評(píng)評(píng)估工作作的建議議內(nèi)容積極貫徹徹落實(shí)27號(hào)文文件建立健全全和完善善信息系系統(tǒng)安全全風(fēng)險(xiǎn)評(píng)評(píng)估的工工作機(jī)制制統(tǒng)籌建設(shè)設(shè)信息安安全風(fēng)險(xiǎn)險(xiǎn)評(píng)估的的基礎(chǔ)設(shè)設(shè)施和基基礎(chǔ)環(huán)境境啟動(dòng)評(píng)估估工作流流程、工工作規(guī)范范標(biāo)準(zhǔn)的的研究與與制定推進(jìn)基礎(chǔ)礎(chǔ)信息網(wǎng)網(wǎng)絡(luò)和重重要信息息系統(tǒng)的的信息安安全風(fēng)險(xiǎn)險(xiǎn)評(píng)估試試點(diǎn)示范范工作加強(qiáng)宣傳傳教育，，提高風(fēng)風(fēng)險(xiǎn)意識(shí)識(shí)標(biāo)準(zhǔn)制定定工作根據(jù)《信信息安全全風(fēng)險(xiǎn)評(píng)評(píng)估研究究報(bào)告》》的建議議,2004年三月月下旬課課題組專專家經(jīng)過(guò)過(guò)充分的的討論與與分析，，報(bào)國(guó)務(wù)務(wù)院信息息辦安全全組批準(zhǔn)準(zhǔn),開展展了《信信息安全全風(fēng)險(xiǎn)評(píng)評(píng)估指南南》和《《信息安安全風(fēng)險(xiǎn)險(xiǎn)管理指指南》二二個(gè)規(guī)范范草案的的制定。。國(guó)家信息息中心信信息安全全研究與與服務(wù)中中心組織織了近二二十家有有實(shí)際工工作經(jīng)驗(yàn)驗(yàn)的企事事業(yè)單位位約四十十多人，，開了二二十多次次工作會(huì)會(huì)議，進(jìn)進(jìn)行了信信息安全全風(fēng)險(xiǎn)評(píng)評(píng)估標(biāo)準(zhǔn)準(zhǔn)規(guī)范草草案的制制定工作作；到九九月下旬旬,完完成《信信息安全全風(fēng)險(xiǎn)評(píng)評(píng)估指南南》和《《信息安安全風(fēng)險(xiǎn)險(xiǎn)管理指指南》二二個(gè)規(guī)范范草案的的初稿。。標(biāo)準(zhǔn)制定定工作2004年全國(guó)國(guó)信息安安全標(biāo)準(zhǔn)準(zhǔn)化技術(shù)術(shù)委員會(huì)會(huì)將《信信息安全全風(fēng)險(xiǎn)評(píng)評(píng)估指南南》列入入2005年度度國(guó)家信信息安全全標(biāo)準(zhǔn)制制定工作作計(jì)劃中中,將將《信息息安全風(fēng)風(fēng)險(xiǎn)管理理指南》》列入國(guó)國(guó)家信息息安全標(biāo)標(biāo)準(zhǔn)研究究工作規(guī)規(guī)劃中。。

目前前《信息息安全風(fēng)風(fēng)險(xiǎn)評(píng)估估指南》》已完成成評(píng)審,報(bào)國(guó)國(guó)家標(biāo)準(zhǔn)準(zhǔn)管理委委員會(huì)頒頒布國(guó)信辦已已以國(guó)信信【2006】】9號(hào)文文的形式式發(fā)各部部委和省省市《信息安安全風(fēng)險(xiǎn)險(xiǎn)評(píng)估指指南》主主要內(nèi)容容規(guī)定了信信息安全全風(fēng)險(xiǎn)評(píng)評(píng)估的工工作流程程、評(píng)估估內(nèi)容、、評(píng)估方方法和風(fēng)風(fēng)險(xiǎn)判斷斷準(zhǔn)則。。介紹了風(fēng)風(fēng)險(xiǎn)評(píng)估估的定義義、風(fēng)險(xiǎn)險(xiǎn)評(píng)估的的模型以以及風(fēng)險(xiǎn)險(xiǎn)評(píng)估的的實(shí)施過(guò)過(guò)程詳細(xì)描述述了對(duì)資資產(chǎn)、威威脅和脆脆弱性的的識(shí)別方方法描述了風(fēng)風(fēng)險(xiǎn)評(píng)估估在信息息系統(tǒng)生生命周期期中的作作用描述了風(fēng)風(fēng)險(xiǎn)評(píng)估估的不同同形式在附件中中介紹了了信息安安全風(fēng)險(xiǎn)險(xiǎn)評(píng)估的的方法、、工具和和實(shí)施案案例《信息安安全風(fēng)險(xiǎn)險(xiǎn)評(píng)估指指南》主主要作用用指導(dǎo)識(shí)別別信息系系統(tǒng)中存存在的風(fēng)風(fēng)險(xiǎn)，為為確立信信息系統(tǒng)統(tǒng)安全等等級(jí)提供供參考指導(dǎo)信息息系統(tǒng)的的安全管管理為執(zhí)法部部門監(jiān)督督提供參參考為項(xiàng)目審審查部門門在審批批和驗(yàn)收收信息系系統(tǒng)時(shí)提提供參考考為信息系系統(tǒng)業(yè)務(wù)務(wù)發(fā)生變變更時(shí)提提供安全全參考《信息安安全風(fēng)險(xiǎn)險(xiǎn)管理指指南》主主要內(nèi)容容明確了風(fēng)風(fēng)險(xiǎn)管理理的目的的和意義義：在安安全措施施的成本本與資產(chǎn)產(chǎn)價(jià)值之之間尋求求平衡，，保護(hù)信信息系統(tǒng)統(tǒng)定義了信信息安全全風(fēng)險(xiǎn)管管理的內(nèi)內(nèi)容和過(guò)過(guò)程風(fēng)險(xiǎn)評(píng)估估風(fēng)險(xiǎn)減緩緩：根據(jù)據(jù)評(píng)估結(jié)結(jié)果，選選擇合適適的方法法控制風(fēng)風(fēng)險(xiǎn)風(fēng)險(xiǎn)決策策：判斷斷殘余風(fēng)風(fēng)險(xiǎn)是否否處在可可接受的的范圍內(nèi)內(nèi)全國(guó)風(fēng)險(xiǎn)險(xiǎn)評(píng)估試試點(diǎn)工作作2005年，國(guó)國(guó)信辦安安全組組組織北京京市、上上海市、、黑龍江江省、云云南省、、人民銀銀行、國(guó)國(guó)家稅務(wù)務(wù)總局、、國(guó)家電電力總公公司和國(guó)國(guó)家信息息中心八八個(gè)部門門的近20家單單位開展展風(fēng)險(xiǎn)評(píng)評(píng)估試點(diǎn)點(diǎn)工作國(guó)家信息息中心負(fù)負(fù)責(zé)試點(diǎn)點(diǎn)工作的的實(shí)施方方案設(shè)計(jì)計(jì)，標(biāo)準(zhǔn)準(zhǔn)培訓(xùn)，，到各試試點(diǎn)單位位調(diào)研，，匯總各各地試點(diǎn)點(diǎn)報(bào)告，，參與政政策文件件草工作作試點(diǎn)工作作的目的的在現(xiàn)有基基礎(chǔ)信息息網(wǎng)絡(luò)和和重要信信息系統(tǒng)統(tǒng)的管理理體制下下，探索索如何推推進(jìn)開展展信息安安全風(fēng)險(xiǎn)險(xiǎn)評(píng)估工工作檢驗(yàn)國(guó)家家標(biāo)準(zhǔn)草草案《信信息安全全風(fēng)險(xiǎn)評(píng)評(píng)估指南南》和《《信息安安全風(fēng)險(xiǎn)險(xiǎn)管理指指南》的的可行性性與可用用性為全面推推廣信息息安全風(fēng)風(fēng)險(xiǎn)評(píng)估估工作和和出臺(tái)相相關(guān)政策策文件做做前期準(zhǔn)準(zhǔn)備試點(diǎn)工作作總結(jié)2005年9月月，在上上海召開開總結(jié)大大會(huì)。國(guó)國(guó)務(wù)院信信息辦曲曲維枝副副主任到到會(huì)聽取取了各試試點(diǎn)單位位的工作作匯報(bào),對(duì)試點(diǎn)點(diǎn)工作的的成果給給予了高高度評(píng)價(jià)價(jià)政策文件件起草在調(diào)研和和試點(diǎn)的的基礎(chǔ)上上，國(guó)信信辦會(huì)同同公安部部、安全全部、國(guó)國(guó)家保密密局、密密碼管理理局、總總參三部部等部門門及有關(guān)關(guān)專家起起草了《《關(guān)于開開展信息息安全風(fēng)風(fēng)險(xiǎn)評(píng)估估工作的的意見》》征求意意見稿，，反復(fù)征征求了國(guó)國(guó)家網(wǎng)絡(luò)絡(luò)與信息息安全協(xié)協(xié)調(diào)小組組成員單單位、重重要信息息系統(tǒng)主主管部門門、國(guó)家家信息化化專家咨咨詢委員員會(huì)以及及各試點(diǎn)點(diǎn)單位意意見，數(shù)數(shù)易其稿稿。政策文件件起草2005年12月16日國(guó)家家網(wǎng)絡(luò)與與信息安安全協(xié)調(diào)調(diào)小組開開會(huì)討論論通過(guò)了了《關(guān)于于開展信信息安全全風(fēng)險(xiǎn)評(píng)評(píng)估工作作的意見見》，2006年元月月6日國(guó)國(guó)務(wù)院信信息化工工作辦公公室將《《關(guān)于開開展信息息安全風(fēng)風(fēng)險(xiǎn)評(píng)估估工作的的意見》》印發(fā)中中央各部部委和全全國(guó)省市市。政策文件件起草《關(guān)于開開展信息息安全風(fēng)風(fēng)險(xiǎn)評(píng)估估工作的的意見》》的印發(fā)發(fā)，標(biāo)志志著我國(guó)國(guó)信息安安全領(lǐng)域域一項(xiàng)基基礎(chǔ)性、、全局性性的新工工作正式式啟動(dòng)。四、信息息安全風(fēng)風(fēng)險(xiǎn)評(píng)估估今后三三年的發(fā)發(fā)展目標(biāo)：用三年左左右的時(shí)時(shí)間在我我國(guó)基礎(chǔ)礎(chǔ)信息網(wǎng)網(wǎng)絡(luò)和重重要信息息系統(tǒng)普普遍推行行信息安安全風(fēng)險(xiǎn)險(xiǎn)評(píng)估工工作，全全面提高高我國(guó)信信息安全全的科學(xué)學(xué)管理水水平，提提升網(wǎng)絡(luò)絡(luò)和信息息系統(tǒng)安安全保障障能力，，為保障障和促進(jìn)進(jìn)我國(guó)信信息化發(fā)發(fā)展服務(wù)務(wù)。高度重視視組織管管理工作作各信息化化和信息息安全主主管部門門要充分分認(rèn)識(shí)風(fēng)風(fēng)險(xiǎn)評(píng)估估工作對(duì)對(duì)于提高高信息安安全管理理水平的的重要意意義，切切實(shí)加強(qiáng)強(qiáng)對(duì)風(fēng)險(xiǎn)險(xiǎn)評(píng)估工工作的管管理，抓抓緊制定定貫徹落落實(shí)的辦辦法，積積極穩(wěn)妥妥地推進(jìn)進(jìn)。要從從抓試點(diǎn)點(diǎn)開始，，逐步探探索組織織實(shí)施和和管理的的經(jīng)驗(yàn)，，高度重視視組織管管理工作作信息系統(tǒng)統(tǒng)擁有、、運(yùn)營(yíng)或或使用單單位和有有關(guān)管理理部門要要按照““誰(shuí)主管管、誰(shuí)負(fù)負(fù)責(zé)，誰(shuí)誰(shuí)運(yùn)營(yíng)、、誰(shuí)負(fù)責(zé)責(zé)”的原原則，在在信息安安全風(fēng)險(xiǎn)險(xiǎn)評(píng)估工工作中切切實(shí)負(fù)起起組織領(lǐng)領(lǐng)導(dǎo)的責(zé)責(zé)任；將開展風(fēng)風(fēng)險(xiǎn)評(píng)估估工作制制度化，，定期組組織實(shí)施施信息系系統(tǒng)自評(píng)評(píng)估，積積極配合合有關(guān)部部門的檢檢查評(píng)估估，并將將開展風(fēng)風(fēng)險(xiǎn)評(píng)估估的費(fèi)用用列入系系統(tǒng)運(yùn)行行維護(hù)費(fèi)費(fèi)用；有關(guān)部門門要將開開展信息息安全風(fēng)風(fēng)險(xiǎn)評(píng)估估作為基基礎(chǔ)信息息網(wǎng)絡(luò)和和重要信信息系統(tǒng)統(tǒng)規(guī)劃、、建設(shè)和和等級(jí)保保護(hù)監(jiān)管管工作的的重要內(nèi)內(nèi)容。風(fēng)險(xiǎn)評(píng)估估工作應(yīng)應(yīng)當(dāng)貫穿穿信息系系統(tǒng)全生生命周期期信息安全全風(fēng)險(xiǎn)評(píng)評(píng)估也是是落實(shí)等等級(jí)保護(hù)護(hù)制度的的重要手手段，應(yīng)應(yīng)通過(guò)信信息安全全風(fēng)險(xiǎn)評(píng)評(píng)估為信信息系統(tǒng)統(tǒng)確定安安全等級(jí)級(jí)提供依依據(jù)，根根據(jù)風(fēng)險(xiǎn)險(xiǎn)評(píng)估的的結(jié)果檢檢驗(yàn)網(wǎng)絡(luò)絡(luò)與信息息系統(tǒng)的的防護(hù)水水平是否否符合等等級(jí)保護(hù)護(hù)的要求求。三個(gè)評(píng)估估環(huán)節(jié)信息系統(tǒng)統(tǒng)規(guī)劃設(shè)設(shè)計(jì)階段段：通過(guò)評(píng)估估明確安安全需求求、安全全目標(biāo)和和安全保保障措施施，為項(xiàng)項(xiàng)目審批批提供依依據(jù)信息系統(tǒng)統(tǒng)驗(yàn)收階階段：通過(guò)評(píng)估估驗(yàn)證已已設(shè)計(jì)安安裝的安安全措施施能否實(shí)實(shí)現(xiàn)安全全目標(biāo)，，為項(xiàng)目目驗(yàn)收提提供依據(jù)據(jù)信息系統(tǒng)統(tǒng)運(yùn)維階階段：通過(guò)定期期進(jìn)行的的評(píng)估，，檢驗(yàn)安安全措施施的有效效性及對(duì)對(duì)安全環(huán)環(huán)境變化化的適應(yīng)應(yīng)性在信息系系統(tǒng)使命命或安全全形勢(shì)發(fā)發(fā)生重大大發(fā)生變變化時(shí)，，要專門門進(jìn)行評(píng)評(píng)估二種評(píng)估估形式自評(píng)估是信息安安全風(fēng)險(xiǎn)險(xiǎn)評(píng)估的的主要形形式，是是指信息息系統(tǒng)擁?yè)碛?、運(yùn)運(yùn)營(yíng)或使使用單位位發(fā)起的的對(duì)本單單位信息息系統(tǒng)進(jìn)進(jìn)行的風(fēng)風(fēng)險(xiǎn)評(píng)估估。依托自身身技術(shù)力力量委托具有有相應(yīng)資資質(zhì)的第第三方機(jī)機(jī)構(gòu)提供供技術(shù)支支持檢查評(píng)估估指信息系系統(tǒng)上級(jí)級(jí)管理部部門或信信息安全全職能部部門組織織的信息息安全風(fēng)風(fēng)險(xiǎn)評(píng)估估。規(guī)避由于于風(fēng)險(xiǎn)評(píng)評(píng)估工作作而引入入新的安安全風(fēng)險(xiǎn)險(xiǎn)1，參與信息息安全風(fēng)風(fēng)險(xiǎn)評(píng)估估工作的的單位及及其有關(guān)關(guān)人員必必須遵守守國(guó)家有有關(guān)信息息安全的的法律法法規(guī)，