信息安全風險評估調(diào)查報告企業(yè)風險管理經(jīng)典

信息平安風險評估國家信息中心信息平安研究與效勞中心吳亞非隨著國民經(jīng)濟和社會信息化進程的全面加快，網(wǎng)絡(luò)和信息系統(tǒng)的根底性、全局性作用日益增強,國民經(jīng)濟和社會開展對根底信息網(wǎng)絡(luò)和重要信息系統(tǒng)的依賴性越來越大，由此而產(chǎn)生的信息平安問題對國家平安的影響日益增加、日益突出。網(wǎng)絡(luò)與信息平安已上升為一個事關(guān)國家政治穩(wěn)定、社會安定、經(jīng)濟有序運行和社會主義精神文明建設(shè)的全局性問題。黨中央、國務院高度重視網(wǎng)絡(luò)與信息平安工作中辦發(fā)[2003]27號文件提出了加強信息平安保障工作的總體要求和主要原那么，并在工作部署中，將信息平安風險評估作為一項重要的舉措;2004年1月9日，黃菊同志在關(guān)于“全面加強信息平安保障工作，促進信息化健康開展〞的講話中，提出了“抓緊研究制定根底信息網(wǎng)絡(luò)和重要信息系統(tǒng)風險評估的管理標準，并組織力量提供技術(shù)支持。根據(jù)風險評估結(jié)果，進行相應等級的平安建設(shè)和管理，特別是對涉及國家機密的信息系統(tǒng)，要按照黨和國家有關(guān)保密規(guī)定進行保護。對涉及國計民生的重要信息系統(tǒng)，要進行必要的信息平安檢查。〞的明確要求黨中央、國務院高度重視網(wǎng)絡(luò)與信息平安工作黨的十六屆四中全會，更是把信息平安和政治平安、經(jīng)濟平安、文化平安放在同等重要的位置并列提出，這在我們黨的歷史上是前所未有的。開展信息平安風險評估工作的重要意義如何確切掌握網(wǎng)絡(luò)和信息系統(tǒng)的平安程度、分析平安威脅來自何方、平安風險有多大，加強信息平安保障工作應采取哪些措施，要投入多少人力、財力和物力；確定已采取的信息平安措施是否有效以及提出按照相應信息平安等級進行平安建設(shè)和管理的依據(jù)等一系列具體問題。風險評估是解決上述問題的重要方法和根底性工作。系統(tǒng)的平安性可通過風險大小來度量,科學地分析系統(tǒng)在保密性、完整性、可用性等方面所面臨的威脅，發(fā)現(xiàn)系統(tǒng)平安的主要問題和矛盾，就能夠在平安風險的預防、減少、轉(zhuǎn)移、補償和分散等之間做出決策，最大限度地控制和化解平安威脅。開展信息平安風險評估工作的概況⑴調(diào)查研究階段⑵標準草案編制階段⑶全國試點工作階段調(diào)查研究階段2003年7月組建成立“信息平安風險評估課題組〞，對信息平安風險評估工作的現(xiàn)狀進行全面深入了解，提出我國開展信息平安風險評估的對策和方法，為下一步信息平安的建設(shè)和管理做準備。2003年8月至12月,課題組先后對四個地區(qū)(北京、廣州、深圳和上海)，十幾個行業(yè)的50多家單位進行了深入細致的調(diào)查與研究，召開了9次座談會，經(jīng)過四個多月的努力,完成了約十萬字的?信息平安風險評估調(diào)查報告?、?信息平安風險評估研究報告?文稿；其中?信息平安風險評估研究報告?列為2004年1月全國信息平安保障會議的傳閱文件。?信息平安風險評估調(diào)查報告?認為①各單位對信息平安風險評估的重視程度與信息化程度成正比關(guān)系?信息平安風險評估調(diào)查報告?認為②國內(nèi)現(xiàn)階段信息平安風險評估狀況國內(nèi)部門、地區(qū)和單位現(xiàn)階段風險評估狀況可分為以下幾類：一是有認識、有行動、有措施、有效果；二是有認識、有行動、但措施不當；三是有認識、無行動、無措施；四是無認識、無行動、無措施。部門、地區(qū)和單位開展不平衡。行業(yè)單位重視風險評估的一個重要原因是“平安事件驅(qū)動〞。?信息平安風險評估調(diào)查報告?認為③信息平安風險評估不標準。目前國內(nèi)現(xiàn)在還沒有一個典型意義上、系統(tǒng)、完整的信息平安風險評估。有的風險評估往往只給出一個籠統(tǒng)的報告；有的只是用技術(shù)工具測一測，沒有系統(tǒng)標準評論，而且對于風險評估需要分級分類的觀點也未達成共識；由于沒有評估標準,對同一個系統(tǒng)評估,不同評估單位得出不同的評估結(jié)果。?信息平安風險評估調(diào)查報告?認為④存在的主要問題1、無組織管理機構(gòu)2、法制建設(shè)欠缺3、管理標準與技術(shù)標準滯后4、風險評估人才匱乏4、風險評估人才匱乏?信息平安風險評估研究報告?指出︰1、信息系統(tǒng)的平安性可以通過風險的大小來度量,通過科學地分析系統(tǒng)在保密性、完整性、可用性等方面所面臨的威脅，發(fā)現(xiàn)系統(tǒng)平安的主要問題和矛盾，就能夠在平安風險的預防、減少、轉(zhuǎn)移、補償和分散等之間做出決策，最大限度地控制和化解平安威脅。?信息平安風險評估研究報告?指出︰2、信息平安風險評估是解決如何確切掌握網(wǎng)絡(luò)和信息系統(tǒng)的平安程度、分析平安威脅來自何方、平安風險有多大，加強信息平安保障工作應采取哪些措施，要投入多少人力、財力和物力,確定已采取的信息平安措施是否有效以及提出按照相應信息平安等級進行平安建設(shè)和管理的依據(jù)等一系列具體問題的重要方法和根底性工作。?信息平安風險評估研究報告?指出︰3、信息平安風險評估工作那么是指依據(jù)國家有關(guān)信息平安技術(shù)標準，對信息系統(tǒng)及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等平安屬性進行科學評價的過程，它要評估信息系統(tǒng)的脆弱性、信息系統(tǒng)面臨的威脅以及脆弱性被威脅源利用后所產(chǎn)生的實際負面影響，并根據(jù)平安事件發(fā)生的可能性和負面影響的程度來識別信息系統(tǒng)的平安風險。?信息平安風險評估研究報告?提出︰1、風險評估是信息系統(tǒng)平安的根底性工作信息平安中的風險評估是傳統(tǒng)的風險理論和方法在信息系統(tǒng)中的運用，是科學地分析和理解信息與信息系統(tǒng)在保密性、完整性、可用性等方面所面臨的風險，并在風險的減少、轉(zhuǎn)移和躲避等風險控制方法之間做出決策的過程。風險評估將導出信息系統(tǒng)的平安需求，因此，所有信息平安建設(shè)都應該以風險評估為起點。信息平安建設(shè)的最終目的是效勞于信息化，但其直接目的是為了控制平安風險。?信息平安風險評估研究報告?提出︰2、風險評估是分級防護和突出重點的具體表達信息平安建設(shè)必須從實際出發(fā)，堅持分級防護、突出重點。風險評估正是這一要求在實際工作中的具體表達。從理論上講，不存在絕對的平安，實踐中也不可能做到絕對平安，風險總是客觀存在的。平安是風險與本錢的綜合平衡。盲目追求平安和完全回避風險是不現(xiàn)實的，也不是分級防護原那么所要求的。要從實際出發(fā)，堅持分級防護、突出重點，就必須正確地評估風險，以便采取有效、科學、客觀和經(jīng)濟的措施。?信息平安風險評估研究報告?認為︰1、加強風險評估工作是當前信息平安工作的客觀需要和緊迫需求。2、風險評估工作當前是要加快法制建設(shè)和技術(shù)標準建設(shè)；3、加強風險評估核心技術(shù)研究與攻關(guān)，重點開展具有自主知識產(chǎn)權(quán)的相關(guān)技術(shù)和產(chǎn)品，為國家根底信息網(wǎng)絡(luò)和重要信息系統(tǒng)的風險評估提供自主可控的工具、模型與實用技術(shù)；4、加強信息平安風險意識的宣傳教育，普及信息平安風險評估知識；加快培養(yǎng)信息平安風險評估的專門人才。?信息平安風險評估研究報告?建議︰1、信息平安風險評估的總體目標是：效勞于國家信息化開展，促進信息平安保障體系的建設(shè)，提高信息系統(tǒng)的平安保護能力。?信息平安風險評估研究報告?建議︰2、信息平安風險評估的目的是：認清信息平安環(huán)境、信息平安狀況；有助于達成共識，明確責任；采取或完善平安保障措施，使其更加經(jīng)濟有效，并使信息平安策略保持一致性和持續(xù)性。?信息平安風險評估研究報告?建議︰3、信息平安風險評估的形式是：自評估和平安檢查評估。平安檢查評估由信息平安主管機關(guān)或信息系統(tǒng)上級主管機關(guān)發(fā)起，依據(jù)國家風險評估的管理標準和技術(shù)標準進行的檢查評估,通過行政手段加強信息平安的重要措施。包括平安保密檢查、生產(chǎn)平安檢查、專項檢查等。自評估是信息系統(tǒng)運營或應用單位依靠自身力量或委托有資質(zhì)的評估機構(gòu)，依據(jù)國家風險評估的管理標準和技術(shù)標準，對自管的信息系統(tǒng)進行風險評估。?信息平安風險評估研究報告?建議︰4、信息平安風險評估的主要環(huán)節(jié)是：信息系統(tǒng)在設(shè)計階段進行風險評估以確定系統(tǒng)的平安目標；在建設(shè)驗收階段進行風險評估以確定系統(tǒng)的平安目標到達與否；在運行維護階段要針對平安形勢和問題,定期或不定期地不斷進行風險評估以確定平安措施的有效性，確保平安保障目標始終如一得以實現(xiàn)。?信息平安風險評估研究報告?建議︰5、信息平安風險評估的近期工作是：貫徹落實27號文件；建立健全和完善信息系統(tǒng)平安風險評估的工作機制；統(tǒng)籌建設(shè)信息平安風險評估的根底設(shè)施和根底環(huán)境。啟動評估工作流程、工作標準標準的研究與制定；推進根底信息網(wǎng)絡(luò)和重要信息系統(tǒng)的風險評估試點示范工作；加強宣傳教育，提高風險意識。⑵標準草案編制階段根據(jù)?信息平安風險評估研究報告?近期工作的建議,2004年三月下旬課題組專家經(jīng)過充分的討論與分析，報國務院信息辦平安組批準,開展了?信息平安風險評估指南?和?信息平安風險管理指南?二個標準草案的制定。國家信息中心信息平安研究與效勞中心在課題組專家的指導下，組織了近二十家有實際工作經(jīng)驗的企事業(yè)單位約四十多人，開了二十屢次工作會議，進行了信息平安風險評估標準標準草案的制定工作；到九月下旬,完成?信息平安風險評估指南?和?信息平安風險管理指南?二個標準草案的初稿。2004年全國信息平安標準化技術(shù)委員會將?信息平安風險評估指南?列入2005年度國家信息平安標準制定工作方案中,將?信息平安風險管理指南?列入國家信息平安標準研究工作規(guī)劃中。?信息平安風險評估指南??信息平安風險評估指南?規(guī)定了信息平安風險評估的工作流程、評估內(nèi)容、評估方法和風險判斷準那么，適用于信息系統(tǒng)的使用單位進行自我風險評估，以及風險評估機構(gòu)對信息系統(tǒng)進行獨立的風險評估。主要用以識別信息系統(tǒng)中存在的風險；為確立信息系統(tǒng)平安等級提供參考；指導信息系統(tǒng)的平安管理；為執(zhí)法部門監(jiān)督提供參考；信息系統(tǒng)建設(shè)完成后，驗收時用于參考；為信息系統(tǒng)業(yè)務發(fā)生變更時提供平安參考。?信息平安風險評估指南??信息平安風險評估指南?分為兩個局部：第一局部：主體局部。主要介紹風險評估的定義、風險評估的模型以及風險評估的實施過程。對資產(chǎn)、威脅和脆弱性的識別進行了詳細的描述，同時描述了風險評估在信息系統(tǒng)生命周期中的作用，以及風險評估的不同形式。指南將原那么性與可操作性進行有機的結(jié)合，既為風險評估的實施者、信息平安管理人員以及相關(guān)人員提供風險評估的依據(jù)，同時也力求防止評估過程的僵化。第二局部：附錄局部。包括信息平安風險評估的方法、工具介紹和一個實施案例。目的是使用戶了解到風險評估方法的多樣性和靈活性。?信息平安風險管理指南??信息平安風險管理指南?定義了信息平安風險管理的內(nèi)容和過程。風險管理的目的和意義是風險管理可使信息系統(tǒng)的主管者和運營者在平安措施的本錢與資產(chǎn)價值之間尋求平衡，并最終通過對支持其使命的信息系統(tǒng)及數(shù)據(jù)進行保護而提高其使命能力。風險管理由三個局部組成：風險評估、風險減緩以及基于風險的決策。風險評估過程將全面評估信息系統(tǒng)的資產(chǎn)、威脅、脆弱性以及現(xiàn)有的平安措施，分析平安事件發(fā)生的可能性以及可能的損失，從而確定信息系統(tǒng)的風險，并判斷風險的優(yōu)先級，建議處理風險的措施?；陲L險評估的結(jié)果，風險處理過程將考察信息平安措施的本錢，選擇適宜的方法處理風險，將風險控制到可接受的程度。基于風險的決策是風險管理的最后過程，旨在由信息系統(tǒng)的主管者或運營者判斷剩余風險是否處在可接受的水平之內(nèi)。基于這一判斷，主管者或運營者將做出決策，決定是否允許信息系統(tǒng)運行。⑶全國試點工作階段2005年春節(jié)前夕，國務院信息辦平安組決定在前兩年課題組風險評估研究工作的根底上，由國務院信息辦組織,在北京市、上海市、黑龍江省、云南省、人民銀行、國家稅務總局、國家電力總公司和國家信息中心八個部門開展風險評估試點工作，目的是在現(xiàn)有根底信息網(wǎng)絡(luò)和重要信息系統(tǒng)的管理體制下，探索如何推進開展信息平安風險評估工作，檢驗草擬的國家標準草案的可行性與可用性，為推廣信息平安風險評估工作和國家出臺相關(guān)政策文件做前期準備。⑶全國試點工作階段在試點工作中將解決和搞清楚以下問題：1、探索信息平安風險評估管理機制的建設(shè)，研究如何落實中辦發(fā)27號文件“誰主管誰負責誰運營誰負責〞的原那么，包括信息平安風險評估的領(lǐng)導體制、協(xié)調(diào)機制、審查與批準、監(jiān)管、督察和備案等內(nèi)容；明確信息平安風險評估的角色、責任、方法、過程及結(jié)果2、摸索協(xié)同開展風險評估工作和信息平安等級保護工作、保密檢查工作的實踐經(jīng)驗；3、完善信息平安風險評估管理標準與技術(shù)標準；4、了解信息平安檢查評估和自評估模式的效果與缺乏；5、完善國家相關(guān)政策文件。⑶全國試點