企業(yè)信息安全風(fēng)險評估調(diào)查報告課件教案

Itisapplicabletoworkreport,lectureandteaching企業(yè)信息安全風(fēng)險評估調(diào)查報告信息安全風(fēng)險評估國家信息中心信息安全研究與服務(wù)中心吳亞非隨著國民經(jīng)濟和社會信息化進程的全面加快，網(wǎng)絡(luò)和信息系統(tǒng)的基礎(chǔ)性、全局性作用日益增強,國民經(jīng)濟和社會發(fā)展對基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的依賴性越來越大，由此而產(chǎn)生的信息安全問題對國家安全的影響日益增加、日益突出。網(wǎng)絡(luò)與信息安全已上升為一個事關(guān)國家政治穩(wěn)定、社會安定、經(jīng)濟有序運行和社會主義精神文明建設(shè)的全局性問題。黨中央、國務(wù)院高度重視網(wǎng)絡(luò)與信息安全工作中辦發(fā)[2003]27號文件提出了加強信息安全保障工作的總體要求和主要原則，并在工作部署中，將信息安全風(fēng)險評估作為一項重要的舉措;2004年1月9日，黃菊同志在關(guān)于“全面加強信息安全保障工作，促進信息化健康發(fā)展”的講話中，提出了“抓緊研究制定基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)風(fēng)險評估的管理規(guī)范，并組織力量提供技術(shù)支持。根據(jù)風(fēng)險評估結(jié)果，進行相應(yīng)等級的安全建設(shè)和管理，特別是對涉及國家機密的信息系統(tǒng)，要按照黨和國家有關(guān)保密規(guī)定進行保護。對涉及國計民生的重要信息系統(tǒng)，要進行必要的信息安全檢查?！钡拿鞔_要求黨中央、國務(wù)院高度重視網(wǎng)絡(luò)與信息安全工作黨的十六屆四中全會，更是把信息安全和政治安全、經(jīng)濟安全、文化安全放在同等重要的位置并列提出，這在我們黨的歷史上是前所未有的。開展信息安全風(fēng)險評估工作的重要意義如何確切掌握網(wǎng)絡(luò)和信息系統(tǒng)的安全程度、分析安全威脅來自何方、安全風(fēng)險有多大，加強信息安全保障工作應(yīng)采取哪些措施，要投入多少人力、財力和物力；確定已采取的信息安全措施是否有效以及提出按照相應(yīng)信息安全等級進行安全建設(shè)和管理的依據(jù)等一系列具體問題。風(fēng)險評估是解決上述問題的重要方法和基礎(chǔ)性工作。系統(tǒng)的安全性可通過風(fēng)險大小來度量,科學(xué)地分析系統(tǒng)在保密性、完整性、可用性等方面所面臨的威脅，發(fā)現(xiàn)系統(tǒng)安全的主要問題和矛盾，就能夠在安全風(fēng)險的預(yù)防、減少、轉(zhuǎn)移、補償和分散等之間做出決策，最大限度地控制和化解安全威脅。開展信息安全風(fēng)險評估工作的概況

⑴調(diào)查研究階段⑵標準草案編制階段⑶全國試點工作階段調(diào)查研究階段2003年7月組建成立“信息安全風(fēng)險評估課題組”，對信息安全風(fēng)險評估工作的現(xiàn)狀進行全面深入了解，提出我國開展信息安全風(fēng)險評估的對策和辦法，為下一步信息安全的建設(shè)和管理做準備。2003年8月至12月,課題組先后對四個地區(qū)(北京、廣州、深圳和上海)，十幾個行業(yè)的50多家單位進行了深入細致的調(diào)查與研究，召開了9次座談會，經(jīng)過四個多月的努力,完成了約十萬字的《信息安全風(fēng)險評估調(diào)查報告》、《信息安全風(fēng)險評估研究報告》文稿；其中《信息安全風(fēng)險評估研究報告》列為2004年1月全國信息安全保障會議的傳閱文件?！缎畔踩L(fēng)險評估調(diào)查報告》認為①各單位對信息安全風(fēng)險評估的重視程度與信息化程度成正比關(guān)系《信息安全風(fēng)險評估調(diào)查報告》認為②國內(nèi)現(xiàn)階段信息安全風(fēng)險評估狀況國內(nèi)部門、地區(qū)和單位現(xiàn)階段風(fēng)險評估狀況可分為以下幾類：一是有認識、有行動、有措施、有效果；二是有認識、有行動、但措施不當；三是有認識、無行動、無措施；四是無認識、無行動、無措施。部門、地區(qū)和單位發(fā)展不平衡。行業(yè)單位重視風(fēng)險評估的一個重要原因是“安全事件驅(qū)動”。《信息安全風(fēng)險評估調(diào)查報告》認為③信息安全風(fēng)險評估不規(guī)范。目前國內(nèi)現(xiàn)在還沒有一個典型意義上、系統(tǒng)、完整的信息安全風(fēng)險評估。有的風(fēng)險評估往往只給出一個籠統(tǒng)的報告；有的只是用技術(shù)工具測一測，沒有系統(tǒng)規(guī)范評論，而且對于風(fēng)險評估需要分級分類的觀點也未達成共識；由于沒有評估標準,對同一個系統(tǒng)評估,不同評估單位得出不同的評估結(jié)果?！缎畔踩L(fēng)險評估調(diào)查報告》認為④存在的主要問題1、無組織管理機構(gòu)2、法制建設(shè)欠缺3、管理標準與技術(shù)標準滯后4、風(fēng)險評估人才匱乏4、風(fēng)險評估人才匱乏《信息安全風(fēng)險評估研究報告》指出︰

1、信息系統(tǒng)的安全性可以通過風(fēng)險的大小來度量,通過科學(xué)地分析系統(tǒng)在保密性、完整性、可用性等方面所面臨的威脅，發(fā)現(xiàn)系統(tǒng)安全的主要問題和矛盾，就能夠在安全風(fēng)險的預(yù)防、減少、轉(zhuǎn)移、補償和分散等之間做出決策，最大限度地控制和化解安全威脅?！缎畔踩L(fēng)險評估研究報告》指出︰2、信息安全風(fēng)險評估是解決如何確切掌握網(wǎng)絡(luò)和信息系統(tǒng)的安全程度、分析安全威脅來自何方、安全風(fēng)險有多大，加強信息安全保障工作應(yīng)采取哪些措施，要投入多少人力、財力和物力,確定已采取的信息安全措施是否有效以及提出按照相應(yīng)信息安全等級進行安全建設(shè)和管理的依據(jù)等一系列具體問題的重要方法和基礎(chǔ)性工作?！缎畔踩L(fēng)險評估研究報告》指出︰3、信息安全風(fēng)險評估工作則是指依據(jù)國家有關(guān)信息安全技術(shù)標準，對信息系統(tǒng)及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行科學(xué)評價的過程，它要評估信息系統(tǒng)的脆弱性、信息系統(tǒng)面臨的威脅以及脆弱性被威脅源利用后所產(chǎn)生的實際負面影響，并根據(jù)安全事件發(fā)生的可能性和負面影響的程度來識別信息系統(tǒng)的安全風(fēng)險?！缎畔踩L(fēng)險評估研究報告》提出︰1、風(fēng)險評估是信息系統(tǒng)安全的基礎(chǔ)性工作信息安全中的風(fēng)險評估是傳統(tǒng)的風(fēng)險理論和方法在信息系統(tǒng)中的運用，是科學(xué)地分析和理解信息與信息系統(tǒng)在保密性、完整性、可用性等方面所面臨的風(fēng)險，并在風(fēng)險的減少、轉(zhuǎn)移和規(guī)避等風(fēng)險控制方法之間做出決策的過程。風(fēng)險評估將導(dǎo)出信息系統(tǒng)的安全需求，因此，所有信息安全建設(shè)都應(yīng)該以風(fēng)險評估為起點。信息安全建設(shè)的最終目的是服務(wù)于信息化，但其直接目的是為了控制安全風(fēng)險。《信息安全風(fēng)險評估研究報告》提出︰2、風(fēng)險評估是分級防護和突出重點的具體體現(xiàn)信息安全建設(shè)必須從實際出發(fā)，堅持分級防護、突出重點。風(fēng)險評估正是這一要求在實際工作中的具體體現(xiàn)。從理論上講，不存在絕對的安全，實踐中也不可能做到絕對安全，風(fēng)險總是客觀存在的。安全是風(fēng)險與成本的綜合平衡。盲目追求安全和完全回避風(fēng)險是不現(xiàn)實的，也不是分級防護原則所要求的。要從實際出發(fā)，堅持分級防護、突出重點，就必須正確地評估風(fēng)險，以便采取有效、科學(xué)、客觀和經(jīng)濟的措施?！缎畔踩L(fēng)險評估研究報告》認為︰1、加強風(fēng)險評估工作是當前信息安全工作的客觀需要和緊迫需求。2、風(fēng)險評估工作當前是要加快法制建設(shè)和技術(shù)標準建設(shè)；3、加強風(fēng)險評估核心技術(shù)研究與攻關(guān)，重點發(fā)展具有自主知識產(chǎn)權(quán)的相關(guān)技術(shù)和產(chǎn)品，為國家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的風(fēng)險評估提供自主可控的工具、模型與實用技術(shù)；4、加強信息安全風(fēng)險意識的宣傳教育，普及信息安全風(fēng)險評估知識；加快培養(yǎng)信息安全風(fēng)險評估的專門人才。《信息安全風(fēng)險評估研究報告》建議︰1、信息安全風(fēng)險評估的總體目標是：服務(wù)于國家信息化發(fā)展，促進信息安全保障體系的建設(shè)，提高信息系統(tǒng)的安全保護能力。《信息安全風(fēng)險評估研究報告》建議︰2、信息安全風(fēng)險評估的目的是：認清信息安全環(huán)境、信息安全狀況；有助于達成共識，明確責(zé)任；采取或完善安全保障措施，使其更加經(jīng)濟有效，并使信息安全策略保持一致性和持續(xù)性?！缎畔踩L(fēng)險評估研究報告》建議︰3、信息安全風(fēng)險評估的形式是：自評估和安全檢查評估。安全檢查評估由信息安全主管機關(guān)或信息系統(tǒng)上級主管機關(guān)發(fā)起，依據(jù)國家風(fēng)險評估的管理規(guī)范和技術(shù)標準進行的檢查評估,通過行政手段加強信息安全的重要措施。包括安全保密檢查、生產(chǎn)安全檢查、專項檢查等。自評估是信息系統(tǒng)運營或應(yīng)用單位依靠自身力量或委托有資質(zhì)的評估機構(gòu)，依據(jù)國家風(fēng)險評估的管理規(guī)范和技術(shù)標準，對自管的信息系統(tǒng)進行風(fēng)險評估?！缎畔踩L(fēng)險評估研究報告》建議︰4、信息安全風(fēng)險評估的主要環(huán)節(jié)是：信息系統(tǒng)在設(shè)計階段進行風(fēng)險評估以確定系統(tǒng)的安全目標；在建設(shè)驗收階段進行風(fēng)險評估以確定系統(tǒng)的安全目標達到與否；在運行維護階段要針對安全形勢和問題,定期或不定期地不斷進行風(fēng)險評估以確定安全措施的有效性，確保安全保障目標始終如一得以實現(xiàn)?！缎畔踩L(fēng)險評估研究報告》建議︰5、信息安全風(fēng)險評估的近期工作是：貫徹落實27號文件；建立健全和完善信息系統(tǒng)安全風(fēng)險評估的工作機制；統(tǒng)籌建設(shè)信息安全風(fēng)險評估的基礎(chǔ)設(shè)施和基礎(chǔ)環(huán)境。啟動評估工作流程、工作規(guī)范標準的研究與制定；推進基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的風(fēng)險評估試點示范工作；加強宣傳教育，提高風(fēng)險意識。⑵標準草案編制階段根據(jù)《信息安全風(fēng)險評估研究報告》近期工作的建議,2004年三月下旬課題組專家經(jīng)過充分的討論與分析，報國務(wù)院信息辦安全組批準,開展了《信息安全風(fēng)險評估指南》和《信息安全風(fēng)險管理指南》二個規(guī)范草案的制定。國家信息中心信息安全研究與服務(wù)中心在課題組專家的指導(dǎo)下，組織了近二十家有實際工作經(jīng)驗的企事業(yè)單位約四十多人，開了二十多次工作會議，進行了信息安全風(fēng)險評估標準規(guī)范草案的制定工作；到九月下旬,完成《信息安全風(fēng)險評估指南》和《信息安全風(fēng)險管理指南》二個規(guī)范草案的初稿。2004年全國信息安全標準化技術(shù)委員會將《信息安全風(fēng)險評估指南》列入2005年度國家信息安全標準制定工作計劃中,將《信息安全風(fēng)險管理指南》列入國家信息安全標準研究工作規(guī)劃中?！缎畔踩L(fēng)險評估指南》《信息安全風(fēng)險評估指南》規(guī)定了信息安全風(fēng)險評估的工作流程、評估內(nèi)容、評估方法和風(fēng)險判斷準則，適用于信息系統(tǒng)的使用單位進行自我風(fēng)險評估，以及風(fēng)險評估機構(gòu)對信息系統(tǒng)進行獨立的風(fēng)險評估。主要用以識別信息系統(tǒng)中存在的風(fēng)險；為確立信息系統(tǒng)安全等級提供參考；指導(dǎo)信息系統(tǒng)的安全管理；為執(zhí)法部門監(jiān)督提供參考；信息系統(tǒng)建設(shè)完成后，驗收時用于參考；為信息系統(tǒng)業(yè)務(wù)發(fā)生變更時提供安全參考?！缎畔踩L(fēng)險評估指南》《信息安全風(fēng)險評估指南》分為兩個部分：第一部分：主體部分。主要介紹風(fēng)險評估的定義、風(fēng)險評估的模型以及風(fēng)險評估的實施過程。對資產(chǎn)、威脅和脆弱性的識別進行了詳細的描述，同時描述了風(fēng)險評估在信息系統(tǒng)生命周期中的作用，以及風(fēng)險評估的不同形式。指南將原則性與可操作性進行有機的結(jié)合，既為風(fēng)險評估的實施者、信息安全管理人員以及相關(guān)人員提供風(fēng)險評估的依據(jù)，同時也力求避免評估過程的僵化。第二部分：附錄部分。包括信息安全風(fēng)險評估的方法、工具介紹和一個實施案例。目的是使用戶了解到風(fēng)險評估方法的多樣性和靈活性?！缎畔踩L(fēng)險管理指南》《信息安全風(fēng)險管理指南》定義了信息安全風(fēng)險管理的內(nèi)容和過程。風(fēng)險管理的目的和意義是風(fēng)險管理可使信息系統(tǒng)的主管者和運營者在安全措施的成本與資產(chǎn)價值之間尋求平衡，并最終通過對支持其使命的信息系統(tǒng)及數(shù)據(jù)進行保護而提高其使命能力。風(fēng)險管理由三個部分組成：風(fēng)險評估、風(fēng)險減緩以及基于風(fēng)險的決策。風(fēng)險評估過程將全面評估信息系統(tǒng)的資產(chǎn)、威脅、脆弱性以及現(xiàn)有的安全措施，分析安全事件發(fā)生的可能性以及可能的損失，從而確定信息系統(tǒng)的風(fēng)險，并判斷風(fēng)險的優(yōu)先級，建議處理風(fēng)險的措施?；陲L(fēng)險評估的結(jié)果，風(fēng)險處理過程將考察信息安全措施的成本，選擇合適的方法處理風(fēng)險，將風(fēng)險控制到可接受的程度?；陲L(fēng)險的決策是風(fēng)險管理的最后過程，旨在由信息系統(tǒng)的主管者或運營者判斷殘余風(fēng)險是否處在可接受的水平之內(nèi)?；谶@一判斷，主管者或運營者將做出決策，決定是否允許信息系統(tǒng)運行。⑶全國試點工作階段2005年春節(jié)前夕，國務(wù)院信息辦安全組決定在前兩年課題組風(fēng)險評估研究工作的基礎(chǔ)上，由國務(wù)院信息辦組織,在北京市、上海市、黑龍江省、云南省、人民銀行、國家稅務(wù)總局、國家電力總公司和國家信息中心八個部門開展風(fēng)險評估試點工作，目的是在現(xiàn)有基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的管理體制下，探索如何推進開展信息安全風(fēng)險評估工作，檢驗草擬的國家標準草案的可行性與可用性，為推廣信息安全風(fēng)險評估工作和國家出臺相關(guān)政策文件做前期準備。⑶全國試點工作階段在試點工作中將解決和搞清楚以下問題：1、探索信息安全風(fēng)險評估管理機制的建設(shè)，研究如何落實中辦發(fā)27號文件“誰主管誰負責(zé)誰運營誰負責(zé)”的原則，包括信息安全風(fēng)險評估的領(lǐng)導(dǎo)體制、協(xié)調(diào)機制、審查與批準、監(jiān)管、督察和備案等內(nèi)容；明確信息安全風(fēng)險評估的角色、責(zé)任、方法、過程及結(jié)果2、摸索協(xié)同開展風(fēng)險評估工作和信息安全等級保護工作、保密檢查工作的實踐經(jīng)驗；3、完善信息安全風(fēng)險評估管理規(guī)范與技術(shù)標準；4、了解信息安全檢查評估和自評估模式的效果與不足；5、完善國家相關(guān)政策文件。⑶全國試點工作階段這次試點的八個部門共有二十多個單位參加。各試點單位的評估模式包括自評估、檢查評估和委托評估三種評估模式，涉及的系統(tǒng)包