《{企业风险管理}风险管理与信息安全风险评估PPT441》由会员分享,可在线阅读,更多相关《{企业风险管理}风险管理与信息安全风险评估PPT441(44页珍藏版)》请在金锄头文库上搜索。
1、风险管理与信息安全风险评估,国家信息中心 2005.12,提 纲,一:信息化风险及风险管理研究 二:信息安全风险评估贵在实践 三、试点经验宝贵,一:信息化风险及风险管理研究,随着信息化的发展,信息化的风险与风险管理问题已经成为各个国家、国际组织所普遍关注的问题。 信息化的风险管理,其中信息安全风险和保障网络空间的安全已经成为关系信息化能否健康发展的重大问题。,一、信息化风险的定义,风险指行动或者事件的结果的不确定性(uncertainty of outcome)。 信息化的风险被界定为信息化可能或者实际带来的消极威胁。 风险管理泛指评估风险、确认风险、回应风险的过程。,二、信息化风险的主要特征
2、,全球性 传染性 复杂性 隐蔽性,三、信息化风险的内在原因,基本原因在于内因,由信息化自身的特点所决定 第一,信息化的无疆界特征; 第二,信息化的低成本特征; 第三,信息化的开放性特征; 第四,信息化的匿名性特征。,第一,自然灾害 第二,误操作和安全生产事故; 第三,病毒、蠕虫以及网络攻击; 第四,由于信任体系不完善,借助信息化手段进行欺诈; 第五,因内部因素而造成的信息、数据的修改和丢失和内部泄密; ; 第六,因外部因素造成信息、数据的泄露、篡改和丢失; 第七,安全防范措施不到位的高端技术。,四、外 部 原 因,五、我国信息安全风险的生成机理,第一,战略能力不足,规划不明确。 (1)缺乏项目
3、的建设战略 (2)缺乏项目的中长期发展规划 (3)缺乏明确项目的发展步骤 (4)缺乏项目的阶段性绩效标准,第二,领导与组织能力不到位,统筹协调不力。 (1)领导对于风险管理的重视不足,忽视电子化政府项目的高风险等具体问题; (2)行政改革与创新的方向性错误; (3)组织信息化目标的错误设定,片面追求上网,忽视服务质量; (4)跨部门之信息化进程的协调问题; (5)重复建设问题 ; (6)信息化项目未能及时完成,预算超支问题; (7)信息孤岛问题 ; (8)项目难以有效评估或评测的问题 。,第三,投资管理的能力差,项目管理体系不成熟。 (1)对项目投资管理的理念认识和关注不足; (2)项目的投资
4、基础(投资负责机构、提出候选项目并予以筛选、对投资项目的选定与实施过程的监督、捕获投资信息等)建设不完善; (3)在项目的投资过程(包括相关筛选、控制和评估标准的确立,对实施后的复查等)机制不健全; (4)在投资的过程管理中,存在薄弱环节,无法做到全流程的“无缝隙管理”; (5)在优化投资过程方面,往往无法实现项目投资的战略性成果。,第四,资金的预算和管理能力差。 (1)对信息安全投资的风险未做预测,或预测不准; (2)资金支持不足; (3)无法寻求足够的社会资金来源; (4)信息安全投资的回报难以监控和评估。,第五,人力资源不足。 (1)缺乏信息安全风险管理的人员和能力; (2)缺乏具备充足
5、信息安全管理资格的人员; (3)培训跟不上项目的进程,培训效果差; (4)项目核心人员的流动问题。,第六,法律与政策不足。 我国目前的信息安全的法制工作发展较为缓慢; 首先,缺乏对信息化的全面立法支持,缺乏保障政府信息化的基本法律,如政府信息公开法、政府信息资源管理法。 其次,缺乏对信息安全风险的制度性规范,如信息风险手册等。 再次,原有的一些法律已不能适应信息化时代的要求,如著作权法、专利法、刑法等。,第七,保护隐私,数据安全,技术管理方面的不足。 在泄露隐私方面: (1)不当授权他人或机构滥用用户信息; (2)未遵循法律或法规制定相应的隐私和记录管理政策。 在影响数据安全方面: (1)工作
6、人员对安全因素和措施缺乏足够认知; (2)难以解决相关安全问题; (3)病毒或黑客攻击导致系统瘫痪; (4)由于一个主要系统瘫痪导致其它系统的失灵。,六、信息安全风险的应对战略和政策,(一)明确政府的角色,强化信息安全风险管理的责任 (二)建立和发展信息安全风险管理的文化 (三)做好国家信息安全的薄弱环节识别,减少信息化系统中的问题 (四)通过有效的教育和培训提高和强化整个社会的信息安全风险管理和安全意识与能力 (五)强化信息化相关的立法,建立有效的管制机制,以防止和化解信息安全风险,(六)建立健全国家信息化的技术安全平台,通过安全技术的发展保障信息化系统的安全 (七)采取有效的措施,确保敏感
7、性信息和国家重要信息基础设施的安全 (八)保障政府系统的安全 (九)建立国家网络空间安全的危机管理系统 (十)通过信息的共享和广泛的合作,化解信息安全风险,提 纲,一:信息化风险及风险管理研究 二:信息安全风险评估 贵在实践 三、试点经验宝贵,党中央、国务院高度重视网络与信息安全工作,中办发200327号文件提出了加强信息安全保障工作的总体要求和主要原则,并在工作部署中,将信息安全风险评估作为一项重要的举措; 2004年1月9日,黄菊同志在关于“全面加强信息安全保障工作,促进信息化健康发展”的讲话中,提出了 “抓紧研究制定基础信息网络和重要信息系统风险评估的管理规范,并组织力量提供技术支持。根
8、据风险评估结果,进行相应等级的安全建设和管理,特别是对涉及国家机密的信息系统,要按照党和国家有关保密规定进行保护。对涉及国计民生的重要信息系统,要进行必要的信息安全检查。” 的明确要求,深刻认识开展信息安全风险评估工作的重要意义,如何确切掌握网络和信息系统的安全程度、分析安全威胁来自何方、安全风险有多大,加强信息安全保障工作应采取哪些措施,要投入多少人力、财力和物力;确定已采取的信息安全措施是否有效以及提出按照相应信息安全等级进行安全建设和管理的依据等一系列具体问题。 风险评估是解决上述问题的重要方法和基础性工作。系统的安全性可通过风险大小来度量, 科学地分析系统在保密性、完整性、可用性等方面
9、所面临的威胁,发现系统安全的主要问题和矛盾,就能够在安全风险的预防、减少、转移、补偿和分散等之间做出决策,最大限度地控制和化解安全威胁。 网络信息系统的安全建设都要在风险评估基础上,成为信息化建设的内在要求,系统主管部门和运营、应用单位必须做好本系统信息安全风险评估工作。,我对风险评估工作指导思想和原则的理解,我国风险评估工作应立足国情,以我为主,突出重点、整合资源,逐步建成有中国特色的风险评估体系,为全面提高国家的信息安全保障能力而服务。 风险评估是信息系统安全管理的基础工作和重要环节。我国基础信息网络和国家电子政务系统、主要新闻媒体和一批涉及能源、交通、通信、战略物资等国家重要信息系统,风
10、险评估必须遵守以下原则:国家指导、政府监管,统一规范、分类指导,突出重点、兼顾一般,军民结合、分工协作。 目前我国风险评估实施重点是基础网络和重要信息系统。同时兼顾其它信息系统,加强指导,确保各类网络和信息系统的风险评估工作能够健康、有序进行。,对风险评估总体要求的理解,风险评估工作总体要求是: 充分发挥和调动各方面力量,运用风险管理的思想,通过风险评估,控制和降低风险,全面提高信息系统防护能力,满足信息安全需求,逐步建成有中国特色的风险评估体系。 评估我国基础信息网络和重要信息系统,掌握我国基础信息网络和重要信息系统的安全状态,及时采取合适的应对措施,保障它们的正常运行。 通过对国家级重点电
11、子政务系统、电子商务系统以及重要信息基础设施的风险评估工作,从中摸索经验,不断探索,逐步完善我国风险评估工作的管理机制。,四、建立风险评估基本管理制度的建议,1、风险评估制度。包括信息系统在设计阶段要进行风险评估以确定系统的安全目标;在建设验收阶段要进行风险评估以确定系统的安全目标达到与否;在运行维护阶段要针对安全形势和问题定期或不定期地不断进行风险评估以确定安全措施的有效性,确保安全保障目标始终如一得以实现。 2、信息安全检查制度与自评估制度。 信息安全检查由信息安全主管机关或信息系统上级主管机关发起,依据国家风险评估的管理规范和技术标准进行的检查评估,通过行政手段加强信息安全的重要措施。包
12、括安全保密检查、生产安全检查、专项检查等。 自评估是信息系统运营或应用单位依靠自身力量,依据国家风险评估的管理规范和技术标准,对系统进行风险评估的工作。 3、系统安全准入制度。按照谁主管谁负责、谁运营谁负责的要求,信息系统上级主管机关依据自评估或信息安全检查的结果,决定是否批准信息系统投入建设或运行。信息系统安全准入工作应纳入基础信息网络和重要信息系统安全管理体系。,我国风险评估的几项任务,1、建立风险评估基本管理制度 2、加强风险评估工作队伍的建设 加强风险评估工作队伍的建设是做好风险评估工作的前提。建议在条件相对成熟的情况下,在已有基础上,整合资源,形成一支承担国家基础信息网络和重要信息系
13、统的风险评估的骨干力量,负责国家基础信息网络和重要信息系统风险评估工作。 3、提出信息安全等级保护和风险评估相关联的指导原则 针对不同的信息系统实施信息安全等级保护的重要原则,要针对不同信息安全等级的信息系统,提出进行风险评估工作所遵循的相应评估准则、工作模式和工作流程,作为各部门、各单位安全风险评估指南的补充,同时丰富和完善对不同类型、不同等级的信息系统实施信息安全等级保护的具体内容。,落实风险评估建设的相关措施,1、加强法规建设和标准化工作 按照我国信息化发展需求,逐步完善我国风险评估相关的法律法规体系,形成和完善满足我国信息化建设需要的风险评估标准体系,规范我国风险评估执法主体行为,实现
14、管理法制化和规范化。 2、保证风险评估工作必要的经费 通过国家财政正式立项,对国家基础网络和重要信息系统风险评估工作、国家安全风险评估试点示范项目、相关法规和标准研究和相关基础研究与人才培训等项目给予资金支持,保证配套经费的落实。 3、统筹建设国家风险评估的基础设施和基础环境 统筹建设国家基础信息网络和重要信息系统风险评估的基础设施和基础环境,将风险评估国家重点实验室的建设纳入国家信息安全保障基础设施的建设规划,构建风险分析试验环境,组织研制开发科学、实用的检查、评估工具,开展风险评估技术、理论、标准的研究;建立国家风险评估数据库,积累资料,全面提高国家风险评估水平。 4、加强风险评估核心技术
15、研究与攻关研究 国家要加强风险评估核心技术研究与攻关,通过技术创新,增强风险评估核心技术的竞争力,适应时代发展的要求,力争在近几年内在核心环节有较大的突破。,提纲,一、信息化风险及风险管理研究 二:信息安全风险评估贵在实践 三、试点经验宝贵,研究了试点工作目的,试点工作的目的是: 在现有管理体制下,摸索如何开展信息安全风险评估工作,检验草拟的风险评估相关标准规范的可行性与可用性,为全面推广信息安全风险评估工作和国家出台关于信息安全风险评估工作意见做前期准备。 在试点工作中将探讨以下问题: 探索风险评估管理机制的建设,研究如何落实中办发27号文件“谁主管谁负责谁运营谁负责”的原则, 包括信息安全
16、风险评估的领导体制、协调机制、审查与批准、监管、督察和备案等内容;明确信息安全风险评估的角色、责任、方法、过程及结果 摸索协同开展风险评估工作和信息安全等级保护工作、保密检查工作的实践经验; 检验和完善信息安全风险评估管理规范与技术标准; 了解信息安全检查评估和自评估模式的效果与不足;,明确专家组工作基本思路,在2004年工作的基础上,国信办安全组决定今年正式启动风险评估试点工作,明确了专家组的角色:立足咨询服务,协助试点单位 主要任务: 参与讨论和完善“信息安全风险评估工作意见” 协助风险评估试点单位做好试点工作 做好信息安全风险评估培训和咨询工作 加紧修订和宣贯风险评估试行标准,确定选择试点单位,1、条件 试点单位的信息化系统已具有一定的规模,试点单位应具备自己的技术一定的、专业队伍和评估实践经验。 2、范围 信息化程度较高的行业部门的信息系统,如金融、税务、电力; 建设发展中的电子政务重要信息系统; 部分涉密信息系统; 信息化程度不同的地方单位。 专家组提出建议,协助国信办确定试点入选单位。,协助国信办提出试点工作阶段划
