宏觀經(jīng)濟(jì)管理系統(tǒng)討論專題系統(tǒng)總體結(jié)構(gòu)

宏觀經(jīng)濟(jì)管理系統(tǒng)討論專題系統(tǒng)總體結(jié)構(gòu)第1頁/共31頁黨中央、國務(wù)院高度重視網(wǎng)絡(luò)與信息安全工作中辦發(fā)[2003]27號文件提出了加強(qiáng)信息安全保障工作的總體要求和主要原則，并在工作部署中，將信息安全風(fēng)險(xiǎn)評估作為一項(xiàng)重要的舉措;2004年1月9日，黃菊同志在關(guān)于“全面加強(qiáng)信息安全保障工作，促進(jìn)信息化健康發(fā)展”的講話中，提出了“抓緊研究制定基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)風(fēng)險(xiǎn)評估的管理規(guī)范，并組織力量提供技術(shù)支持。根據(jù)風(fēng)險(xiǎn)評估結(jié)果，進(jìn)行相應(yīng)等級的安全建設(shè)和管理，特別是對涉及國家機(jī)密的信息系統(tǒng)，要按照黨和國家有關(guān)保密規(guī)定進(jìn)行保護(hù)。對涉及國計(jì)民生的重要信息系統(tǒng)，要進(jìn)行必要的信息安全檢查?！钡拿鞔_要求第2頁/共31頁黨中央、國務(wù)院高度重視網(wǎng)絡(luò)與信息安全工作黨的十六屆四中全會(huì)，更是把信息安全和政治安全、經(jīng)濟(jì)安全、文化安全放在同等重要的位置并列提出，這在我們黨的歷史上是前所未有的。第3頁/共31頁開展信息安全風(fēng)險(xiǎn)評估工作的重要意義如何確切掌握網(wǎng)絡(luò)和信息系統(tǒng)的安全程度、分析安全威脅來自何方、安全風(fēng)險(xiǎn)有多大，加強(qiáng)信息安全保障工作應(yīng)采取哪些措施，要投入多少人力、財(cái)力和物力；確定已采取的信息安全措施是否有效以及提出按照相應(yīng)信息安全等級進(jìn)行安全建設(shè)和管理的依據(jù)等一系列具體問題。風(fēng)險(xiǎn)評估是解決上述問題的重要方法和基礎(chǔ)性工作。系統(tǒng)的安全性可通過風(fēng)險(xiǎn)大小來度量,科學(xué)地分析系統(tǒng)在保密性、完整性、可用性等方面所面臨的威脅，發(fā)現(xiàn)系統(tǒng)安全的主要問題和矛盾，就能夠在安全風(fēng)險(xiǎn)的預(yù)防、減少、轉(zhuǎn)移、補(bǔ)償和分散等之間做出決策，最大限度地控制和化解安全威脅。第4頁/共31頁開展信息安全風(fēng)險(xiǎn)評估工作的概況

⑴調(diào)查研究階段⑵標(biāo)準(zhǔn)草案編制階段⑶全國試點(diǎn)工作階段第5頁/共31頁調(diào)查研究階段2003年7月組建成立“信息安全風(fēng)險(xiǎn)評估課題組”，對信息安全風(fēng)險(xiǎn)評估工作的現(xiàn)狀進(jìn)行全面深入了解，提出我國開展信息安全風(fēng)險(xiǎn)評估的對策和辦法，為下一步信息安全的建設(shè)和管理做準(zhǔn)備。2003年8月至12月,課題組先后對四個(gè)地區(qū)(北京、廣州、深圳和上海)，十幾個(gè)行業(yè)的50多家單位進(jìn)行了深入細(xì)致的調(diào)查與研究，召開了9次座談會(huì)，經(jīng)過四個(gè)多月的努力,完成了約十萬字的《信息安全風(fēng)險(xiǎn)評估調(diào)查報(bào)告》、《信息安全風(fēng)險(xiǎn)評估研究報(bào)告》文稿；其中《信息安全風(fēng)險(xiǎn)評估研究報(bào)告》列為2004年1月全國信息安全保障會(huì)議的傳閱文件。第6頁/共31頁《信息安全風(fēng)險(xiǎn)評估調(diào)查報(bào)告》認(rèn)為①各單位對信息安全風(fēng)險(xiǎn)評估的重視程度與信息化程度成正比關(guān)系第7頁/共31頁《信息安全風(fēng)險(xiǎn)評估調(diào)查報(bào)告》認(rèn)為②國內(nèi)現(xiàn)階段信息安全風(fēng)險(xiǎn)評估狀況國內(nèi)部門、地區(qū)和單位現(xiàn)階段風(fēng)險(xiǎn)評估狀況可分為以下幾類：一是有認(rèn)識、有行動(dòng)、有措施、有效果；二是有認(rèn)識、有行動(dòng)、但措施不當(dāng)；三是有認(rèn)識、無行動(dòng)、無措施；四是無認(rèn)識、無行動(dòng)、無措施。部門、地區(qū)和單位發(fā)展不平衡。行業(yè)單位重視風(fēng)險(xiǎn)評估的一個(gè)重要原因是“安全事件驅(qū)動(dòng)”。第8頁/共31頁《信息安全風(fēng)險(xiǎn)評估調(diào)查報(bào)告》認(rèn)為③信息安全風(fēng)險(xiǎn)評估不規(guī)范。目前國內(nèi)現(xiàn)在還沒有一個(gè)典型意義上、系統(tǒng)、完整的信息安全風(fēng)險(xiǎn)評估。有的風(fēng)險(xiǎn)評估往往只給出一個(gè)籠統(tǒng)的報(bào)告；有的只是用技術(shù)工具測一測，沒有系統(tǒng)規(guī)范評論，而且對于風(fēng)險(xiǎn)評估需要分級分類的觀點(diǎn)也未達(dá)成共識；由于沒有評估標(biāo)準(zhǔn),對同一個(gè)系統(tǒng)評估,不同評估單位得出不同的評估結(jié)果。第9頁/共31頁《信息安全風(fēng)險(xiǎn)評估調(diào)查報(bào)告》認(rèn)為④存在的主要問題1、無組織管理機(jī)構(gòu)2、法制建設(shè)欠缺3、管理標(biāo)準(zhǔn)與技術(shù)標(biāo)準(zhǔn)滯后4、風(fēng)險(xiǎn)評估人才匱乏4、風(fēng)險(xiǎn)評估人才匱乏第10頁/共31頁《信息安全風(fēng)險(xiǎn)評估研究報(bào)告》指出︰

1、信息系統(tǒng)的安全性可以通過風(fēng)險(xiǎn)的大小來度量,通過科學(xué)地分析系統(tǒng)在保密性、完整性、可用性等方面所面臨的威脅，發(fā)現(xiàn)系統(tǒng)安全的主要問題和矛盾，就能夠在安全風(fēng)險(xiǎn)的預(yù)防、減少、轉(zhuǎn)移、補(bǔ)償和分散等之間做出決策，最大限度地控制和化解安全威脅。第11頁/共31頁《信息安全風(fēng)險(xiǎn)評估研究報(bào)告》指出︰2、信息安全風(fēng)險(xiǎn)評估是解決如何確切掌握網(wǎng)絡(luò)和信息系統(tǒng)的安全程度、分析安全威脅來自何方、安全風(fēng)險(xiǎn)有多大，加強(qiáng)信息安全保障工作應(yīng)采取哪些措施，要投入多少人力、財(cái)力和物力,確定已采取的信息安全措施是否有效以及提出按照相應(yīng)信息安全等級進(jìn)行安全建設(shè)和管理的依據(jù)等一系列具體問題的重要方法和基礎(chǔ)性工作。第12頁/共31頁《信息安全風(fēng)險(xiǎn)評估研究報(bào)告》指出︰3、信息安全風(fēng)險(xiǎn)評估工作則是指依據(jù)國家有關(guān)信息安全技術(shù)標(biāo)準(zhǔn)，對信息系統(tǒng)及由其處理、傳輸和存儲(chǔ)的信息的保密性、完整性和可用性等安全屬性進(jìn)行科學(xué)評價(jià)的過程，它要評估信息系統(tǒng)的脆弱性、信息系統(tǒng)面臨的威脅以及脆弱性被威脅源利用后所產(chǎn)生的實(shí)際負(fù)面影響，并根據(jù)安全事件發(fā)生的可能性和負(fù)面影響的程度來識別信息系統(tǒng)的安全風(fēng)險(xiǎn)。第13頁/共31頁《信息安全風(fēng)險(xiǎn)評估研究報(bào)告》提出︰1、風(fēng)險(xiǎn)評估是信息系統(tǒng)安全的基礎(chǔ)性工作信息安全中的風(fēng)險(xiǎn)評估是傳統(tǒng)的風(fēng)險(xiǎn)理論和方法在信息系統(tǒng)中的運(yùn)用，是科學(xué)地分析和理解信息與信息系統(tǒng)在保密性、完整性、可用性等方面所面臨的風(fēng)險(xiǎn)，并在風(fēng)險(xiǎn)的減少、轉(zhuǎn)移和規(guī)避等風(fēng)險(xiǎn)控制方法之間做出決策的過程。風(fēng)險(xiǎn)評估將導(dǎo)出信息系統(tǒng)的安全需求，因此，所有信息安全建設(shè)都應(yīng)該以風(fēng)險(xiǎn)評估為起點(diǎn)。信息安全建設(shè)的最終目的是服務(wù)于信息化，但其直接目的是為了控制安全風(fēng)險(xiǎn)。第14頁/共31頁《信息安全風(fēng)險(xiǎn)評估研究報(bào)告》提出︰2、風(fēng)險(xiǎn)評估是分級防護(hù)和突出重點(diǎn)的具體體現(xiàn)信息安全建設(shè)必須從實(shí)際出發(fā)，堅(jiān)持分級防護(hù)、突出重點(diǎn)。風(fēng)險(xiǎn)評估正是這一要求在實(shí)際工作中的具體體現(xiàn)。從理論上講，不存在絕對的安全，實(shí)踐中也不可能做到絕對安全，風(fēng)險(xiǎn)總是客觀存在的。安全是風(fēng)險(xiǎn)與成本的綜合平衡。盲目追求安全和完全回避風(fēng)險(xiǎn)是不現(xiàn)實(shí)的，也不是分級防護(hù)原則所要求的。要從實(shí)際出發(fā)，堅(jiān)持分級防護(hù)、突出重點(diǎn)，就必須正確地評估風(fēng)險(xiǎn)，以便采取有效、科學(xué)、客觀和經(jīng)濟(jì)的措施。第15頁/共31頁《信息安全風(fēng)險(xiǎn)評估研究報(bào)告》認(rèn)為︰1、加強(qiáng)風(fēng)險(xiǎn)評估工作是當(dāng)前信息安全工作的客觀需要和緊迫需求。2、風(fēng)險(xiǎn)評估工作當(dāng)前是要加快法制建設(shè)和技術(shù)標(biāo)準(zhǔn)建設(shè)；3、加強(qiáng)風(fēng)險(xiǎn)評估核心技術(shù)研究與攻關(guān)，重點(diǎn)發(fā)展具有自主知識產(chǎn)權(quán)的相關(guān)技術(shù)和產(chǎn)品，為國家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的風(fēng)險(xiǎn)評估提供自主可控的工具、模型與實(shí)用技術(shù)；4、加強(qiáng)信息安全風(fēng)險(xiǎn)意識的宣傳教育，普及信息安全風(fēng)險(xiǎn)評估知識；加快培養(yǎng)信息安全風(fēng)險(xiǎn)評估的專門人才。第16頁/共31頁《信息安全風(fēng)險(xiǎn)評估研究報(bào)告》建議︰1、信息安全風(fēng)險(xiǎn)評估的總體目標(biāo)是：服務(wù)于國家信息化發(fā)展，促進(jìn)信息安全保障體系的建設(shè)，提高信息系統(tǒng)的安全保護(hù)能力。第17頁/共31頁《信息安全風(fēng)險(xiǎn)評估研究報(bào)告》建議︰2、信息安全風(fēng)險(xiǎn)評估的目的是：認(rèn)清信息安全環(huán)境、信息安全狀況；有助于達(dá)成共識，明確責(zé)任；采取或完善安全保障措施，使其更加經(jīng)濟(jì)有效，并使信息安全策略保持一致性和持續(xù)性。第18頁/共31頁《信息安全風(fēng)險(xiǎn)評估研究報(bào)告》建議︰3、信息安全風(fēng)險(xiǎn)評估的形式是：自評估和安全檢查評估。安全檢查評估由信息安全主管機(jī)關(guān)或信息系統(tǒng)上級主管機(jī)關(guān)發(fā)起，依據(jù)國家風(fēng)險(xiǎn)評估的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行的檢查評估,通過行政手段加強(qiáng)信息安全的重要措施。包括安全保密檢查、生產(chǎn)安全檢查、專項(xiàng)檢查等。自評估是信息系統(tǒng)運(yùn)營或應(yīng)用單位依靠自身力量或委托有資質(zhì)的評估機(jī)構(gòu)，依據(jù)國家風(fēng)險(xiǎn)評估的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，對自管的信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評估。第19頁/共31頁《信息安全風(fēng)險(xiǎn)評估研究報(bào)告》建議︰4、信息安全風(fēng)險(xiǎn)評估的主要環(huán)節(jié)是：信息系統(tǒng)在設(shè)計(jì)階段進(jìn)行風(fēng)險(xiǎn)評估以確定系統(tǒng)的安全目標(biāo)；在建設(shè)驗(yàn)收階段進(jìn)行風(fēng)險(xiǎn)評估以確定系統(tǒng)的安全目標(biāo)達(dá)到與否；在運(yùn)行維護(hù)階段要針對安全形勢和問題,定期或不定期地不斷進(jìn)行風(fēng)險(xiǎn)評估以確定安全措施的有效性，確保安全保障目標(biāo)始終如一得以實(shí)現(xiàn)。第20頁/共31頁《信息安全風(fēng)險(xiǎn)評估研究報(bào)告》建議︰5、信息安全風(fēng)險(xiǎn)評估的近期工作是：貫徹落實(shí)27號文件；建立健全和完善信息系統(tǒng)安全風(fēng)險(xiǎn)評估的工作機(jī)制；統(tǒng)籌建設(shè)信息安全風(fēng)險(xiǎn)評估的基礎(chǔ)設(shè)施和基礎(chǔ)環(huán)境。啟動(dòng)評估工作流程、工作規(guī)范標(biāo)準(zhǔn)的研究與制定；推進(jìn)基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的風(fēng)險(xiǎn)評估試點(diǎn)示范工作；加強(qiáng)宣傳教育，提高風(fēng)險(xiǎn)意識。第21頁/共31頁⑵標(biāo)準(zhǔn)草案編制階段根據(jù)《信息安全風(fēng)險(xiǎn)評估研究報(bào)告》近期工作的建議,2004年三月下旬課題組專家經(jīng)過充分的討論與分析，報(bào)國務(wù)院信息辦安全組批準(zhǔn),開展了《信息安全風(fēng)險(xiǎn)評估指南》和《信息安全風(fēng)險(xiǎn)管理指南》二個(gè)規(guī)范草案的制定。國家信息中心信息安全研究與服務(wù)中心在課題組專家的指導(dǎo)下，組織了近二十家有實(shí)際工作經(jīng)驗(yàn)的企事業(yè)單位約四十多人，開了二十多次工作會(huì)議，進(jìn)行了信息安全風(fēng)險(xiǎn)評估標(biāo)準(zhǔn)規(guī)范草案的制定工作；到九月下旬,完成《信息安全風(fēng)險(xiǎn)評估指南》和《信息安全風(fēng)險(xiǎn)管理指南》二個(gè)規(guī)范草案的初稿。2004年全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)將《信息安全風(fēng)險(xiǎn)評估指南》列入2005年度國家信息安全標(biāo)準(zhǔn)制定工作計(jì)劃中,將《信息安全風(fēng)險(xiǎn)管理指南》列入國家信息安全標(biāo)準(zhǔn)研究工作規(guī)劃中。第22頁/共31頁《信息安全風(fēng)險(xiǎn)評估指南》《信息安全風(fēng)險(xiǎn)評估指南》規(guī)定了信息安全風(fēng)險(xiǎn)評估的工作流程、評估內(nèi)容、評估方法和風(fēng)險(xiǎn)判斷準(zhǔn)則，適用于信息系統(tǒng)的使用單位進(jìn)行自我風(fēng)險(xiǎn)評估，以及風(fēng)險(xiǎn)評估機(jī)構(gòu)對信息系統(tǒng)進(jìn)行獨(dú)立的風(fēng)險(xiǎn)評估。主要用以識別信息系統(tǒng)中存在的風(fēng)險(xiǎn)；為確立信息系統(tǒng)安全等級提供參考；指導(dǎo)信息系統(tǒng)的安全管理；為執(zhí)法部門監(jiān)督提供參考；信息系統(tǒng)建設(shè)完成后，驗(yàn)收時(shí)用于參考；為信息系統(tǒng)業(yè)務(wù)發(fā)生變更時(shí)提供安全參考。第23頁/共31頁《信息安全風(fēng)險(xiǎn)評估指南》《信息安全風(fēng)險(xiǎn)評估指南》分為兩個(gè)部分：第一部分：主體部分。主要介紹風(fēng)險(xiǎn)評估的定義、風(fēng)險(xiǎn)評估的模型以及風(fēng)險(xiǎn)評估的實(shí)施過程。對資產(chǎn)、威脅和脆弱性的識別進(jìn)行了詳細(xì)的描述，同時(shí)描述了風(fēng)險(xiǎn)評估在信息系統(tǒng)生命周期中的作用，以及風(fēng)險(xiǎn)評估的不同形式。指南將原則性與可操作性進(jìn)行有機(jī)的結(jié)合，既為風(fēng)險(xiǎn)評估的實(shí)施者、信息安全管理人員以及相關(guān)人員提供風(fēng)險(xiǎn)評估的依據(jù)，同時(shí)也力求避免評估過程的僵化。第二部分：附錄部分。包括信息安全風(fēng)險(xiǎn)評估的方法、工具介紹和一個(gè)實(shí)施案例。目的是使用戶了解到風(fēng)險(xiǎn)評估方法的多樣性和靈活性。第24頁/共31頁《信息安全風(fēng)險(xiǎn)管理指南》《信息安全風(fēng)險(xiǎn)管理指南》定義了信息安全風(fēng)險(xiǎn)管理的內(nèi)容和過程。風(fēng)險(xiǎn)管理的目的和意義是風(fēng)險(xiǎn)管理可使信息系統(tǒng)的主管者和運(yùn)營者在安全措施的成本與資產(chǎn)價(jià)值之間尋求平衡，并最終通過對支持其使命的信息系統(tǒng)及數(shù)據(jù)進(jìn)行保護(hù)而提高其使命能力。風(fēng)險(xiǎn)管理由三個(gè)部分組成：風(fēng)險(xiǎn)評估、風(fēng)險(xiǎn)減緩以及基于風(fēng)險(xiǎn)的決策。風(fēng)險(xiǎn)評估過程將全面評估信息系統(tǒng)的資產(chǎn)、威脅、脆弱性以及現(xiàn)有的安全措施，分析安全事件發(fā)生的可能性以及可能的損失，從而確定信息系統(tǒng)的風(fēng)險(xiǎn)，并判斷風(fēng)險(xiǎn)的優(yōu)先級，建議處理風(fēng)險(xiǎn)的措施。基于風(fēng)險(xiǎn)評估的結(jié)果，風(fēng)險(xiǎn)處理過程將考察信息安全措施的成本，選擇合適的方法處理風(fēng)險(xiǎn)，將風(fēng)險(xiǎn)控制到可接受的程度?；陲L(fēng)險(xiǎn)的決策是風(fēng)險(xiǎn)管理的最后過程，旨在由信息系統(tǒng)的主管者或運(yùn)營者判斷殘余風(fēng)險(xiǎn)是否處在可接受的水平之內(nèi)?；谶@一判斷，主管者或運(yùn)營者將做出決策，決定是否允許信息系統(tǒng)運(yùn)行。第25頁/共31頁⑶全國試點(diǎn)工作階段2005年春節(jié)前夕，國務(wù)院信息辦安全組決定在前兩年課題組風(fēng)險(xiǎn)評估研究工作的基礎(chǔ)上，由國務(wù)院信息辦組織,在北京市、上海市、黑龍江省、云南省、人民銀行、國家稅務(wù)總局、國家電力總公司和國家信息中心八個(gè)部門開展風(fēng)險(xiǎn)評估試點(diǎn)工作，目的是在現(xiàn)有基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的管理體制下，探索如何推進(jìn)開展信息安全風(fēng)險(xiǎn)評估工作，檢驗(yàn)草擬的國家標(biāo)準(zhǔn)草案的可行性與可用性，為推廣信息安全風(fēng)險(xiǎn)評估工作和國家出臺相關(guān)政策文件做前期準(zhǔn)備。第26頁/共31頁⑶全國試點(diǎn)工作階段在試點(diǎn)工作中將解決和搞清楚以下問題：1、探索信息安全風(fēng)險(xiǎn)評估管理機(jī)制的建設(shè)，研究如何落實(shí)中辦發(fā)27號文件“誰主管誰負(fù)責(zé)誰運(yùn)營誰負(fù)責(zé)”的原則，包括信息安全風(fēng)險(xiǎn)評估的領(lǐng)導(dǎo)體制、協(xié)調(diào)機(jī)制、審查與批準(zhǔn)、監(jiān)管、督察和備案等內(nèi)容；明確信息安全風(fēng)險(xiǎn)評估的角色、責(zé)任、方法、過程及結(jié)果2、摸索協(xié)同開展風(fēng)險(xiǎn)評估工作和信息安全等級保護(hù)工作、保密檢查工作的實(shí)踐經(jīng)驗(yàn)；3、完善信息安全風(fēng)險(xiǎn)評估管理規(guī)范與技術(shù)標(biāo)準(zhǔn)；4、了解信息安全檢查評估和自評估模式的效果與不足；5、完善國家相關(guān)政策文件。第27頁/共31頁⑶全國試點(diǎn)工作階段這次試點(diǎn)的八個(gè)部門共有二十多個(gè)單位參加。各試點(diǎn)單位的評估模式包括自評估、檢查