增強(qiáng)風(fēng)險(xiǎn)評估的競爭力(全文)

精品文檔-下載后可編輯增強(qiáng)風(fēng)險(xiǎn)評估的競爭力(全文)捍衛(wèi)信息安全是一場看不見硝煙的戰(zhàn)爭，而信息安全風(fēng)險(xiǎn)評估是這場戰(zhàn)爭的基礎(chǔ)性工作。目前，我國在這方面還相對落后，各級政府與企業(yè)應(yīng)當(dāng)科學(xué)地做好風(fēng)險(xiǎn)評估。

安全無小事。隨著國民經(jīng)濟(jì)的發(fā)展，信息化程度愈高，信息安全保障工作就愈重要。信息安全風(fēng)險(xiǎn)評估(以下簡稱“風(fēng)險(xiǎn)評估”)是信息安全保障工作的基礎(chǔ)性工作。但是，現(xiàn)在我國在信息系統(tǒng)的風(fēng)險(xiǎn)評估還處于起步階段，亟待規(guī)范和提高。

目前，我國很多政府部門和企業(yè)的風(fēng)險(xiǎn)評估工作由于沒有與信息系統(tǒng)的生命周期和安全建設(shè)聯(lián)系起來，僅僅是為評估而評估。在風(fēng)險(xiǎn)評估后，沒有針對風(fēng)險(xiǎn)評估的結(jié)果采取對策，安全狀況最終并未取得實(shí)質(zhì)性的增強(qiáng)和改善，這些風(fēng)險(xiǎn)評估工作僅僅起到了應(yīng)付上級檢查的作用，存在的隱患又有可能會導(dǎo)致新的風(fēng)險(xiǎn)。

風(fēng)險(xiǎn)評估是一項(xiàng)全新的工作，涉及信息安全管理部門、信息系統(tǒng)主管部門、建設(shè)單位和運(yùn)營或應(yīng)用部門，科學(xué)的風(fēng)險(xiǎn)評估需要理論、方法、技術(shù)來支撐，那么我國應(yīng)該如何建立起良好的風(fēng)險(xiǎn)評估機(jī)制呢？

建立和完善各項(xiàng)制度

風(fēng)險(xiǎn)評估敏感性很強(qiáng)，如果引導(dǎo)不當(dāng)，管理不到位，有可能給國家、社會和企業(yè)帶來新的安全隱患，當(dāng)前最重要就是建立和完善風(fēng)險(xiǎn)評估的各項(xiàng)基本制度。

首先，建立和完善風(fēng)險(xiǎn)評估制度，包括信息系統(tǒng)在設(shè)計(jì)階段要確定系統(tǒng)的安全目標(biāo)；在建設(shè)驗(yàn)收階段要確定系統(tǒng)的安全目標(biāo)達(dá)到與否；在運(yùn)行維護(hù)階段要針對安全形勢和問題定期或不定期地進(jìn)行風(fēng)險(xiǎn)評估以確定安全措施的有效性，確保安全保障目標(biāo)始終如一得以實(shí)現(xiàn)。

其次，建立起信息安全檢查制度與自我評估制度。信息安全檢查由信息安全主管機(jī)關(guān)或信息系統(tǒng)上級主管機(jī)關(guān)發(fā)起，依據(jù)國家風(fēng)險(xiǎn)評估的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行檢查評估,通過行政手段加強(qiáng)信息安全。同時，各信息系統(tǒng)運(yùn)營或應(yīng)用單位依靠自身力量或委托有資質(zhì)的評估機(jī)構(gòu)，也要對自身信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評估。

同時，按照誰主管誰負(fù)責(zé)、誰運(yùn)營誰負(fù)責(zé)的要求，信息系統(tǒng)上級主管機(jī)關(guān)依據(jù)自評估或信息安全檢查的結(jié)果，決定是否批準(zhǔn)信息系統(tǒng)投入建設(shè)或運(yùn)行。信息系統(tǒng)安全認(rèn)可和批準(zhǔn)工作應(yīng)納入基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全管理體系。

最后，建立風(fēng)險(xiǎn)評估機(jī)構(gòu)管理制度。對國家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的風(fēng)險(xiǎn)評估，實(shí)行資質(zhì)準(zhǔn)入制度，只允許經(jīng)國家批準(zhǔn)的風(fēng)險(xiǎn)評估機(jī)構(gòu)實(shí)施風(fēng)險(xiǎn)評估。國家必須加強(qiáng)風(fēng)險(xiǎn)評估工作的管理，建立服務(wù)標(biāo)準(zhǔn)、資質(zhì)認(rèn)可與資質(zhì)核查評估制度。

標(biāo)準(zhǔn)規(guī)范也是推廣和實(shí)施風(fēng)險(xiǎn)評估工作的法律依據(jù)和技術(shù)保障，要加快風(fēng)險(xiǎn)評估管理與技術(shù)標(biāo)準(zhǔn)的制定和完善，盡快出臺國家標(biāo)準(zhǔn)的《信息安全風(fēng)險(xiǎn)評估指南》、《信息系統(tǒng)安全批準(zhǔn)規(guī)范》和《信息安全風(fēng)險(xiǎn)管理指南》。

加大人才培養(yǎng)與基礎(chǔ)建設(shè)

加強(qiáng)風(fēng)險(xiǎn)評估工作隊(duì)伍的建設(shè)是做好風(fēng)險(xiǎn)評估工作的前提。我國要形成國家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的風(fēng)險(xiǎn)評估的骨干力量，負(fù)責(zé)實(shí)施本系統(tǒng)風(fēng)險(xiǎn)評估工作。同時，積極宣傳風(fēng)險(xiǎn)管理的基本知識，增強(qiáng)風(fēng)險(xiǎn)意識，組織開展相關(guān)培訓(xùn)，提高對風(fēng)險(xiǎn)管理與評估工作的認(rèn)識和重視。

在基礎(chǔ)建設(shè)上，要統(tǒng)籌建設(shè)國家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)風(fēng)險(xiǎn)評估的基礎(chǔ)設(shè)施和基礎(chǔ)環(huán)境，將風(fēng)險(xiǎn)評估國家重點(diǎn)實(shí)驗(yàn)室的建設(shè)納入國家信息安全保障基礎(chǔ)設(shè)施的建設(shè)規(guī)劃，構(gòu)建風(fēng)險(xiǎn)分析試驗(yàn)環(huán)境，組織研制開發(fā)科學(xué)實(shí)用的檢查評估工具，開展風(fēng)險(xiǎn)評估技術(shù)、理論、標(biāo)準(zhǔn)的研究；建立國家風(fēng)險(xiǎn)評估數(shù)據(jù)庫，積累資料，全面提高國家風(fēng)險(xiǎn)評估水平。

同時，要選擇國家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的單位開展風(fēng)險(xiǎn)評估試點(diǎn)工作，探索風(fēng)險(xiǎn)評估工作的經(jīng)驗(yàn)，逐步積累，形成國家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的風(fēng)險(xiǎn)分析指南等相關(guān)的配套規(guī)范、標(biāo)準(zhǔn)和工具和保護(hù)策略，積