文档介绍：信息安全风险评估
国家信息中心
信息安全研究与服务中心吴亚非
随着国民经济和社会信息化进程的全面加快,网络和信息系统的基础性、全局性作用日益增强,国民经济和社会发展对基础信息网络和重要信息系统的依赖性越来越大,由此而产生的信息安全问题对国家安全的影响日益增加、日益突出。
网络与信息安全已上升为一个事关国家政治稳定、社会安定、经济有序运行和社会主义精神文明建设的全局性问题。
党中央、国务院高度重视网络与信息安全工作
中办发[2003]27号文件提出了加强信息安全保障工作的总体要求和主要原则,并在工作部署中,将信息安全风险评估作为一项重要的举措;
2004年1月9日,黄菊同志在关于“全面加强信息安全保障工作,促进信息化健康发展”的讲话中,提出了“抓紧研究制定基础信息网络和重要信息系统风险评估的管理规范,并组织力量提供技术支持。根据风险评估结果,进行相应等级的安全建设和管理,特别是对涉及国家机密的信息系统,要按照党和国家有关保密规定进行保护。对涉及国计民生的重要信息系统,要进行必要的信息安全检查。”的明确要求
党中央、国务院高度重视网络与信息安全工作
党的十六届四中全会,更是把信息安全和政治安全、经济安全、文化安全放在同等重要的位置并列提出,这在我们党的历史上是前所未有的。
开展信息安全风险评估工作的重要意义
如何确切掌握网络和信息系统的安全程度、分析安全威胁来自何方、安全风险有多大,加强信息安全保障工作应采取哪些措施,要投入多少人力、财力和物力;确定已采取的信息安全措施是否有效以及提出按照相应信息安全等级进行安全建设和管理的依据等一系列具体问题。
风险评估是解决上述问题的重要方法和基础性工作。系统的安全性可通过风险大小来度量, 科学地分析系统在保密性、完整性、可用性等方面所面临的威胁,发现系统安全的主要问题和矛盾,就能够在安全风险的预防、减少、转移、补偿和分散等之间做出决策,最大限度地控制和化解安全威胁。
开展信息安全风险评估工作的概况
⑴调查研究阶段
⑵标准草案编制阶段
⑶全国试点工作阶段
调查研究阶段
2003年7月组建成立“信息安全风险评估课题组”,对信息安全风险评估工作的现状进行全面深入了解,提出我国开展信息安全风险评估的对策和办法,为下一步信息安全的建设和管理做准备。
2003年8月至12月, 课题组先后对四个地区(北京、广州、深圳和上海),十几个行业的50多家单位进行了深入细致的调查与研究,召开了9 次座谈会,
经过四个多月的努力,完成了约十万字的《信息安全风险评估调查报告》、《信息安全风险评估研究报告》文稿;其中《信息安全风险评估研究报告》列为2004年1月全国信息安全保障会议的传阅文件。
《信息安全风险评估调查报告》认为
①各单位对信息安全风险评估的重视程度与信息化程度成正比关系
《信息安全风险评估调查报告》认为
②国内现阶段信息安全风险评估状况
国内部门、地区和单位现阶段风险评估状况可分为以下几类:
一是有认识、有行动、有措施、有效果;二是有认识、有行动、但措施不当;三是有认识、无行动、无措施;四是无认识、无行动、无措施。部门、地区和单位发展不平衡。
行业单位重视风险评估的一个重要原因是“安全事件驱动”。
《信息安全风险评估调查报告》认为
③信息安全风险评估不规范。
目前国内现在还没有一个典型意义上、系统、完整的信息安全风险评估。有的风险评估往往只给出一个笼统的报告;有的只是用技术工具测一测,没有系统规范评论,而且对于风险评估需要分级分类的观点也未达成共识;
由于没有评估标准,对同一个系统评估,不同评估单位得出不同的评估结果。