文档介绍:风险管理与信息安全风险评估
国家信息中心
提纲
一:信息化风险及风险管理研究
二:信息安全风险评估贵在实践
三、试点经验宝贵
来自资料库下载
一:信息化风险及风险管理研究
随着信息化的发展,信息化的风险与风险管理问题已经成为各个国家、国际组织所普遍关注的问题。
信息化的风险管理,其中信息安全风险和保障网络空间的安全已经成为关系信息化能否健康发展的重大问题。
来自资料库下载
一、信息化风险的定义
风险指行动或者事件的结果的不确定性(uncertainty of e)。
信息化的风险被界定为信息化可能或者实际带来的消极威胁。
风险管理泛指评估风险、确认风险、回应风险的过程。
来自资料库下载
二、信息化风险的主要特征
全球性
传染性
复杂性
隐蔽性
来自资料库下载
三、信息化风险的内在原因
基本原因在于内因,由信息化自身的特点所决定
第一,信息化的无疆界特征;
第二,信息化的低成本特征;
第三,信息化的开放性特征;
第四,信息化的匿名性特征。
来自资料库下载
第一,自然灾害
第二,误操作和安全生产事故;
第三,病毒、蠕虫以及网络攻击;
第四,由于信任体系不完善,借助信息化手段进行欺诈;
第五,因内部因素而造成的信息、数据的修改和丢失和内部泄密; ;
第六,因外部因素造成信息、数据的泄露、篡改和丢失;
第七,安全防范措施不到位的高端技术。
四、外部原因
来自资料库下载
五、我国信息安全风险的生成机理
第一,战略能力不足,规划不明确。
(1)缺乏项目的建设战略
(2)缺乏项目的中长期发展规划
(3)缺乏明确项目的发展步骤
(4)缺乏项目的阶段性绩效标准
来自资料库下载
第二,领导与组织能力不到位,统筹协调不力。
(1)领导对于风险管理的重视不足,忽视电子化政府项目的高风险等具体问题;
(2)行政改革与创新的方向性错误;
(3)组织信息化目标的错误设定,片面追求上网,忽视服务质量;
(4)跨部门之信息化进程的协调问题;
(5)重复建设问题;
(6)信息化项目未能及时完成,预算超支问题;
(7)信息孤岛问题;
(8)项目难以有效评估或评测的问题。
来自资料库下载
第三,投资管理的能力差,项目管理体系不成熟。
(1)对项目投资管理的理念认识和关注不足;
(2)项目的投资基础(投资负责机构、提出候选项目并予以筛选、对投资项目的选定与实施过程的监督、捕获投资信息等)建设不完善;
(3)在项目的投资过程(包括相关筛选、控制和评估标准的确立,对实施后的复查等)机制不健全;
(4)在投资的过程管理中,存在薄弱环节,无法做到全流程的“无缝隙管理”;
(5)在优化投资过程方面,往往无法实现项目投资的战略性成果。
来自资料库下载