風(fēng)險(xiǎn)管理與信息安全風(fēng)險(xiǎn)評(píng)估

風(fēng)險(xiǎn)管理與信息平安風(fēng)險(xiǎn)評(píng)估國家信息中心2005.12

提綱一：信息化風(fēng)險(xiǎn)及風(fēng)險(xiǎn)管理研究二：信息平安風(fēng)險(xiǎn)評(píng)估貴在實(shí)踐三、試點(diǎn)經(jīng)驗(yàn)珍貴來自3722中國最大的資料庫下載一：信息化風(fēng)險(xiǎn)及風(fēng)險(xiǎn)管理研究隨著信息化的開展，信息化的風(fēng)險(xiǎn)與風(fēng)險(xiǎn)管理問題已經(jīng)成為各個(gè)國家、國際組織所普遍關(guān)注的問題。信息化的風(fēng)險(xiǎn)管理，其中信息平安風(fēng)險(xiǎn)和保障網(wǎng)絡(luò)空間的平安已經(jīng)成為關(guān)系信息化能否健康開展的重大問題。來自3722中國最大的資料庫下載一、信息化風(fēng)險(xiǎn)的定義風(fēng)險(xiǎn)指行動(dòng)或者事件的結(jié)果的不確定性〔uncertaintyofoutcome〕。信息化的風(fēng)險(xiǎn)被界定為信息化可能或者實(shí)際帶來的消極威脅。風(fēng)險(xiǎn)管理泛指評(píng)估風(fēng)險(xiǎn)、確認(rèn)風(fēng)險(xiǎn)、回應(yīng)風(fēng)險(xiǎn)的過程。來自3722中國最大的資料庫下載二、信息化風(fēng)險(xiǎn)的主要特征

全球性傳染性復(fù)雜性隱蔽性來自3722中國最大的資料庫下載三、信息化風(fēng)險(xiǎn)的內(nèi)在原因

根本原因在于內(nèi)因，由信息化自身的特點(diǎn)所決定第一，信息化的無疆界特征；第二，信息化的低本錢特征；第三，信息化的開放性特征；第四，信息化的匿名性特征。來自3722中國最大的資料庫下載四、外部原因來自3722中國最大的資料庫下載五、我國信息平安風(fēng)險(xiǎn)的生成機(jī)理第一，戰(zhàn)略能力缺乏，規(guī)劃不明確。〔1〕缺乏工程的建設(shè)戰(zhàn)略〔2〕缺乏工程的中長期開展規(guī)劃〔3〕缺乏明確工程的開展步驟〔4〕缺乏工程的階段性績效標(biāo)準(zhǔn)來自3722中國最大的資料庫下載第二，領(lǐng)導(dǎo)與組織能力不到位，統(tǒng)籌協(xié)調(diào)不力。〔1〕領(lǐng)導(dǎo)對(duì)于風(fēng)險(xiǎn)管理的重視缺乏，無視電子化政府工程的高風(fēng)險(xiǎn)等具體問題；〔2〕行政改革與創(chuàng)新的方向性錯(cuò)誤；〔3〕組織信息化目標(biāo)的錯(cuò)誤設(shè)定，片面追求上網(wǎng)，無視效勞質(zhì)量；〔4〕跨部門之信息化進(jìn)程的協(xié)調(diào)問題；〔5〕重復(fù)建設(shè)問題；〔6〕信息化工程未能及時(shí)完成，預(yù)算超支問題；〔7〕信息孤島問題；〔8〕工程難以有效評(píng)估或評(píng)測(cè)的問題。來自3722中國最大的資料庫下載來自3722中國最大的資料庫下載來自3722中國最大的資料庫下載第五，人力資源缺乏?！?〕缺乏信息平安風(fēng)險(xiǎn)管理的人員和能力；〔2〕缺乏具備充足信息平安管理資格的人員；〔3〕培訓(xùn)跟不上工程的進(jìn)程，培訓(xùn)效果差；〔4〕工程核心人員的流動(dòng)問題。來自3722中國最大的資料庫下載來自3722中國最大的資料庫下載來自3722中國最大的資料庫下載〔一〕明確政府的角色，強(qiáng)化信息平安風(fēng)險(xiǎn)管理的責(zé)任〔二〕建立和開展信息平安風(fēng)險(xiǎn)管理的文化〔三〕做好國家信息平安的薄弱環(huán)節(jié)識(shí)別，減少信息化系統(tǒng)中的問題〔四〕通過有效的教育和培訓(xùn)提高和強(qiáng)化整個(gè)社會(huì)的信息平安風(fēng)險(xiǎn)管理和平安意識(shí)與能力〔五〕強(qiáng)化信息化相關(guān)的立法，建立有效的管制機(jī)制，以防止和化解信息平安風(fēng)險(xiǎn)來自3722中國最大的資料庫下載來自3722中國最大的資料庫下載

提綱一：信息化風(fēng)險(xiǎn)及風(fēng)險(xiǎn)管理研究二：信息平安風(fēng)險(xiǎn)評(píng)估貴在實(shí)踐三、試點(diǎn)經(jīng)驗(yàn)珍貴來自3722中國最大的資料庫下載來自3722中國最大的資料庫下載深刻認(rèn)識(shí)開展信息平安風(fēng)險(xiǎn)評(píng)估工作的重要意義如何確切掌握網(wǎng)絡(luò)和信息系統(tǒng)的平安程度、分析平安威脅來自何方、平安風(fēng)險(xiǎn)有多大，加強(qiáng)信息平安保障工作應(yīng)采取哪些措施，要投入多少人力、財(cái)力和物力；確定已采取的信息平安措施是否有效以及提出按照相應(yīng)信息平安等級(jí)進(jìn)行平安建設(shè)和管理的依據(jù)等一系列具體問題。風(fēng)險(xiǎn)評(píng)估是解決上述問題的重要方法和根底性工作。系統(tǒng)的平安性可通過風(fēng)險(xiǎn)大小來度量,科學(xué)地分析系統(tǒng)在保密性、完整性、可用性等方面所面臨的威脅，發(fā)現(xiàn)系統(tǒng)平安的主要問題和矛盾，就能夠在平安風(fēng)險(xiǎn)的預(yù)防、減少、轉(zhuǎn)移、補(bǔ)償和分散等之間做出決策，最大限度地控制和化解平安威脅。網(wǎng)絡(luò)信息系統(tǒng)的平安建設(shè)都要在風(fēng)險(xiǎn)評(píng)估根底上,成為信息化建設(shè)的內(nèi)在要求，系統(tǒng)主管部門和運(yùn)營、應(yīng)用單位必須做好本系統(tǒng)信息平安風(fēng)險(xiǎn)評(píng)估工作。來自3722中國最大的資料庫下載我對(duì)風(fēng)險(xiǎn)評(píng)估工作指導(dǎo)思想和原那么的理解我國風(fēng)險(xiǎn)評(píng)估工作應(yīng)立足國情，以我為主，突出重點(diǎn)、整合資源，逐步建成有中國特色的風(fēng)險(xiǎn)評(píng)估體系，為全面提高國家的信息平安保障能力而效勞。風(fēng)險(xiǎn)評(píng)估是信息系統(tǒng)平安管理的根底工作和重要環(huán)節(jié)。我國根底信息網(wǎng)絡(luò)和國家電子政務(wù)系統(tǒng)、主要新聞媒體和一批涉及能源、交通、通信、戰(zhàn)略物資等國家重要信息系統(tǒng)，風(fēng)險(xiǎn)評(píng)估必須遵守以下原那么：國家指導(dǎo)、政府監(jiān)管，統(tǒng)一標(biāo)準(zhǔn)、分類指導(dǎo)，突出重點(diǎn)、兼顧一般，軍民結(jié)合、分工協(xié)作。目前我國風(fēng)險(xiǎn)評(píng)估實(shí)施重點(diǎn)是根底網(wǎng)絡(luò)和重要信息系統(tǒng)。同時(shí)兼顧其它信息系統(tǒng)，加強(qiáng)指導(dǎo)，確保各類網(wǎng)絡(luò)和信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估工作能夠健康、有序進(jìn)行。來自3722中國最大的資料庫下載對(duì)風(fēng)險(xiǎn)評(píng)估總體要求的理解風(fēng)險(xiǎn)評(píng)估工作總體要求是：充分發(fā)揮和調(diào)動(dòng)各方面力量，運(yùn)用風(fēng)險(xiǎn)管理的思想，通過風(fēng)險(xiǎn)評(píng)估，控制和降低風(fēng)險(xiǎn)，全面提高信息系統(tǒng)防護(hù)能力，滿足信息平安需求，逐步建成有中國特色的風(fēng)險(xiǎn)評(píng)估體系。評(píng)估我國根底信息網(wǎng)絡(luò)和重要信息系統(tǒng)，掌握我國根底信息網(wǎng)絡(luò)和重要信息系統(tǒng)的平安狀態(tài)，及時(shí)采取適宜的應(yīng)對(duì)措施，保障它們的正常運(yùn)行。通過對(duì)國家級(jí)重點(diǎn)電子政務(wù)系統(tǒng)、電子商務(wù)系統(tǒng)以及重要信息根底設(shè)施的風(fēng)險(xiǎn)評(píng)估工作，從中摸索經(jīng)驗(yàn)，不斷探索，逐步完善我國風(fēng)險(xiǎn)評(píng)估工作的管理機(jī)制。來自3722中國最大的資料庫下載四、建立風(fēng)險(xiǎn)評(píng)估根本管理制度的建議來自3722中國最大的資料庫下載我國風(fēng)險(xiǎn)評(píng)估的幾項(xiàng)任務(wù)1、建立風(fēng)險(xiǎn)評(píng)估根本管理制度2、加強(qiáng)風(fēng)險(xiǎn)評(píng)估工作隊(duì)伍的建設(shè)加強(qiáng)風(fēng)險(xiǎn)評(píng)估工作隊(duì)伍的建設(shè)是做好風(fēng)險(xiǎn)評(píng)估工作的前提。建議在條件相對(duì)成熟的情況下，在已有根底上，整合資源，形成一支承擔(dān)國家根底信息網(wǎng)絡(luò)和重要信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估的骨干力量，負(fù)責(zé)國家根底信息網(wǎng)絡(luò)和重要信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估工作。3、提出信息平安等級(jí)保護(hù)和風(fēng)險(xiǎn)評(píng)估相關(guān)聯(lián)的指導(dǎo)原那么針對(duì)不同的信息系統(tǒng)實(shí)施信息平安等級(jí)保護(hù)的重要原那么，要針對(duì)不同信息平安等級(jí)的信息系統(tǒng)，提出進(jìn)行風(fēng)險(xiǎn)評(píng)估工作所遵循的相應(yīng)評(píng)估準(zhǔn)那么、工作模式和工作流程，作為各部門、各單位平安風(fēng)險(xiǎn)評(píng)估指南的補(bǔ)充，同時(shí)豐富和完善對(duì)不同類型、不同等級(jí)的信息系統(tǒng)實(shí)施信息平安等級(jí)保護(hù)的具體內(nèi)容。來自3722中國最大的資料庫下載落實(shí)風(fēng)險(xiǎn)評(píng)估建設(shè)的相關(guān)措施來自3722中國最大的資料庫下載提綱一、信息化風(fēng)險(xiǎn)及風(fēng)險(xiǎn)管理研究二：信息平安風(fēng)險(xiǎn)評(píng)估貴在實(shí)踐三、試點(diǎn)經(jīng)驗(yàn)珍貴來自3722中國最大的資料庫下載研究了試點(diǎn)工作目的來自3722中國最大的資料庫下載明確專家組工作根本思路在2004年工作的根底上，國信辦平安組決定今年正式啟動(dòng)風(fēng)險(xiǎn)評(píng)估試點(diǎn)工作,明確了專家組的角色：立足咨詢效勞，協(xié)助試點(diǎn)單位主要任務(wù):參與討論和完善“信息平安風(fēng)險(xiǎn)評(píng)估工作意見〞協(xié)助風(fēng)險(xiǎn)評(píng)估試點(diǎn)單位做好試點(diǎn)工作做好信息平安風(fēng)險(xiǎn)評(píng)估培訓(xùn)和咨詢工作加緊修訂和宣貫風(fēng)險(xiǎn)評(píng)估試行標(biāo)準(zhǔn)來自3722中國最大的資料庫下載確定選擇試點(diǎn)單位來自3722中國最大的資料庫下載協(xié)助國信辦提出試點(diǎn)工作階段劃分的建議來自3722中國最大的資料庫下載積極參與了試點(diǎn)工作來自3722中國最大的資料庫下載積極參與了試點(diǎn)工作〔續(xù)〕總結(jié)階段：協(xié)助國信辦匯總試點(diǎn)工作情況，總結(jié)修改意見，并完善標(biāo)準(zhǔn)。在各試點(diǎn)單位正式總結(jié)之前，召開專家組評(píng)審會(huì)；為國信辦試點(diǎn)工作總結(jié)提供根底素材。 標(biāo)準(zhǔn)的完善 充實(shí)和完善?信息平安風(fēng)險(xiǎn)評(píng)估指南?和?信息平安風(fēng)險(xiǎn)管理指南?，通過試點(diǎn)工作提出兩個(gè)標(biāo)準(zhǔn)的修改意見。同時(shí)進(jìn)行與標(biāo)準(zhǔn)相關(guān)的配套理論、方法和標(biāo)準(zhǔn)的研究。來自3722中國最大的資料庫下載試點(diǎn)工作與標(biāo)準(zhǔn)驗(yàn)證試點(diǎn)工作對(duì)去年國信辦組織制定的兩項(xiàng)試行標(biāo)準(zhǔn)進(jìn)行了驗(yàn)證，提出了修訂建議絕大多數(shù)試點(diǎn)單位大都參照了去年國信辦和國家安標(biāo)委組織編寫的?信息平安風(fēng)險(xiǎn)評(píng)估指南?及?信息平安風(fēng)險(xiǎn)管理指南?。試點(diǎn)單位大都結(jié)合自身的具體情況，選擇了相應(yīng)的評(píng)估方法和適當(dāng)?shù)钠桨部刂拼胧┘肮芾砹鞒?，?shí)踐經(jīng)驗(yàn)證明各試點(diǎn)單位評(píng)估基于的根本原那么和核心方法與試行標(biāo)準(zhǔn)指南大體吻合一致。來自3722中國最大的資料庫下載收獲和體會(huì)來自3722中國最大的資料庫下載來自3722中國最大的資料庫下載典型方法之一：綜合風(fēng)險(xiǎn)計(jì)算法標(biāo)準(zhǔn)評(píng)估過程摸清家底：劃分資產(chǎn)類型，建立重要資產(chǎn)清單，識(shí)別資產(chǎn)重要性分析威脅和分析脆弱性兩種途徑按層次分析脆弱性判定平安時(shí)間及其影響計(jì)算威脅風(fēng)險(xiǎn)值制定風(fēng)險(xiǎn)控制措施來自3722中國最大的資料庫下載典型方法之四：面向關(guān)鍵信息資產(chǎn)的評(píng)估方法〔續(xù)〕威脅路徑分析法面向關(guān)鍵信息資產(chǎn)的層次分析法利用等級(jí)保護(hù)支撐平臺(tái)的評(píng)估方法

來自3722中國最大的資料庫下載試點(diǎn)工作出現(xiàn)了一批成果上海市的風(fēng)險(xiǎn)評(píng)估管理軟件評(píng)估模型和方法的創(chuàng)新與探索北京市利用了已有的工具平臺(tái)，形成了評(píng)估輔助工具平臺(tái)黑龍江提出了基于模糊綜合判定理論的風(fēng)險(xiǎn)評(píng)估判定方法既有量化的探索，也有定性為主的探索云南提出了增加業(yè)務(wù)流分析和已有控制措施的有效性識(shí)別或判定來自3722中國最大的資料庫下載試點(diǎn)工作出現(xiàn)了一批成果〔續(xù)〕國家稅務(wù)總局提出了差距分析法，細(xì)化了流程國電公司提出了符合行業(yè)特點(diǎn)的方法，初步形成了行業(yè)平安評(píng)估方法論，涵蓋了平安定義、平安評(píng)測(cè)和風(fēng)險(xiǎn)分析的全過程來自3722中國最大的資料庫下載試點(diǎn)工作發(fā)現(xiàn)的問題來自3722中國最大的資料庫下載下一步建議來自3722中國最大的資料庫下載來自3722中國最大的資料庫下載平安測(cè)試評(píng)估工具、平臺(tái)與環(huán)境促進(jìn)建立國家信息平安測(cè)試評(píng)估體系——形成示范應(yīng)用產(chǎn)品和系統(tǒng)測(cè)試評(píng)估工具產(chǎn)品和系統(tǒng)測(cè)試評(píng)估支撐環(huán)境建立先進(jìn)的測(cè)試評(píng)估標(biāo)準(zhǔn)體系和開發(fā)環(huán)境系統(tǒng)等級(jí)保護(hù)測(cè)試評(píng)估平臺(tái)來自3722中國最大的資料庫下載下一步建議〔續(xù)〕加強(qiáng)風(fēng)險(xiǎn)評(píng)估工作隊(duì)伍的建設(shè)，重視培訓(xùn)、建立風(fēng)險(xiǎn)評(píng)估機(jī)構(gòu)管理制度在已有根底上，整合資源，分類指導(dǎo)，組建不同等級(jí)的風(fēng)險(xiǎn)評(píng)估機(jī)構(gòu)，分別承擔(dān)國家和地方根底信息網(wǎng)絡(luò)和重要信息系統(tǒng)以及本行業(yè)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估工作，形成風(fēng)險(xiǎn)評(píng)估的骨干力量。風(fēng)險(xiǎn)評(píng)估敏感性很強(qiáng)，如果引導(dǎo)不當(dāng)，管理不到位，有可能因?yàn)轱L(fēng)險(xiǎn)評(píng)估帶來新