信息安全风险评估调查报告

《信息安全风险评估调查报告》由会员分享，可在线阅读，更多相关《信息安全风险评估调查报告（31页珍藏版）》请在金锄头文库上搜索。

1、信息安全风险评估国家信息中心信息安全研究与服务中心 吴亚非2随着国民经济和社会信息化进程的全面加快，网络 和信息系统的基础性、全局性作用日益增强,国民经 济和社会发展对基础信息网络和重要信息系统的依 赖性越来越大，由此而产生的信息安全问题对国家 安全的影响日益增加、日益突出。网络与信息安全已上升为一个事关国家政治稳定、 社会安定、经济有序运行和社会主义精神文明建设 的全局性问题。3党中央、国务院高度重视网络与信息安全工作中办发200327号文件提出了加强信息安全保障工作 的总体要求和主要原则，并在工作部署中，将信息安 全风险评估作为一项重要的举措; 2004年1月9日，黄菊同志在关于“全面加强

2、信息安全 保障工作，促进信息化健康发展”的讲话中，提出了 “抓紧研究制定基础信息网络和重要信息系统风险评 估的管理规范，并组织力量提供技术支持。根据风险 评估结果，进行相应等级的安全建设和管理，特别是 对涉及国家机密的信息系统，要按照党和国家有关保 密规定进行保护。对涉及国计民生的重要信息系统， 要进行必要的信息安全检查。” 的明确要求 4党中央、国务院高度重视网络与信息安全工作党的十六届四中全会，更是把信息安全和政治安全 、经济安全、文化安全放在同等重要的位置并列提 出，这在我们党的历史上是前所未有的。5开展信息安全风险评估工作的重要意义如何确切掌握网络和信息系统的安全程度、分析安全威 胁来

3、自何方、安全风险有多大，加强信息安全保障工作 应采取哪些措施，要投入多少人力、财力和物力；确定 已采取的信息安全措施是否有效以及提出按照相应信息 安全等级进行安全建设和管理的依据等一系列具体问题 。风险评估是解决上述问题的重要方法和基础性工作。系 统的安全性可通过风险大小来度量, 科学地分析系统在 保密性、完整性、可用性等方面所面临的威胁，发现系 统安全的主要问题和矛盾，就能够在安全风险的预防、 减少、转移、补偿和分散等之间做出决策，最大限度地 控制和化解安全威胁。6开展信息安全风险评估工作的概况 调查研究阶段 标准草案编制阶段 全国试点工作阶段7调查研究阶段2003年7月组建成立“信息安全风

4、险评估课题组”，对信息安 全风险评估工作的现状进行全面深入了解，提出我国开展信 息安全风险评估的对策和办法，为下一步信息安全的建设和 管理做准备。 2003年8月至12月, 课题组先后对四个地区(北京、广州、深 圳和上海)，十几个行业的50多家单位进行了深入细致的调 查与研究，召开了9 次座谈会，经过四个多月的努力,完成了约十万字的信息安全风险评 估调查报告、信息安全风险评估研究报告文稿；其中 信息安全风险评估研究报告列为2004年1月全国信息安 全保障会议的传阅文件。8信息安全风险评估调查报告认为各单位对信息安全风险评估的重视程度与信息化 程度成正比关系9信息安全风险评估调查报告认为国内现阶

5、段信息安全风险评估状况国内部门、地区和单位现阶段风险评估状况可分为 以下几类：一是有认识、有行动、有措施、有效果；二是有认 识、有行动、但措施不当；三是有认识、无行动、 无措施；四是无认识、无行动、无措施。部门、地 区和单位发展不平衡。 行业单位重视风险评估的一个重要原因是“安全事件 驱动”。10信息安全风险评估调查报告认为信息安全风险评估不规范。目前国内现在还没有一个典型意义上、系统、完整 的信息安全风险评估。有的风险评估往往只给出一 个笼统的报告；有的只是用技术工具测一测，没有 系统规范评论，而且对于风险评估需要分级分类的 观点也未达成共识；由于没有评估标准,对同一个系统评估,不同评估单

6、位得出不同的评估结果。11信息安全风险评估调查报告认为存在的主要问题1、无组织管理机构2、法制建设欠缺3、管理标准与技术标准滞后4、风险评估人才匮乏4、风险评估人才匮乏12信息安全风险评估研究报告指出 1、信息系统的安全性可以通过风险的大小来度量, 通过科学地分析系统在保密性、完整性、可用性等 方面所面临的威胁，发现系统安全的主要问题和矛 盾，就能够在安全风险的预防、减少、转移、补偿 和分散等之间做出决策，最大限度地控制和化解安 全威胁。13信息安全风险评估研究报告指出2、信息安全风险评估是解决如何确切掌握网络和 信息系统的安全程度、分析安全威胁来自何方、安 全风险有多大，加强信息安全保障工作

7、应采取哪些 措施，要投入多少人力、财力和物力,确定已采取的 信息安全措施是否有效以及提出按照相应信息安全 等级进行安全建设和管理的依据等一系列具体问题 的重要方法和基础性工作。14信息安全风险评估研究报告指出3、信息安全风险评估工作则是指依据国家有关信 息安全技术标准，对信息系统及由其处理、传输和 存储的信息的保密性、完整性和可用性等安全属性 进行科学评价的过程，它要评估信息系统的脆弱性 、信息系统面临的威胁以及脆弱性被威胁源利用后 所产生的实际负面影响，并根据安全事件发生的可 能性和负面影响的程度来识别信息系统的安全风险 。15信息安全风险评估研究报告提出1、风险评估是信息系统安全的基础性工

8、作信息安全中的风险评估是传统的风险理论和方法在 信息系统中的运用，是科学地分析和理解信息与信 息系统在保密性、完整性、可用性等方面所面临的 风险，并在风险的减少、转移和规避等风险控制方 法之间做出决策的过程。风险评估将导出信息系统 的安全需求，因此，所有信息安全建设都应该以风 险评估为起点。信息安全建设的最终目的是服务于 信息化，但其直接目的是为了控制安全风险。16信息安全风险评估研究报告提出2、风险评估是分级防护和突出重点的具体体现信息安全建设必须从实际出发，坚持分级防护、突出重点。 风险评估正是这一要求在实际工作中的具体体现。从理论上讲，不存在绝对的安全，实践中也不可能做到绝对 安全，风险

9、总是客观存在的。安全是风险与成本的综合平衡。盲目追求安全和完全回避风 险是不现实的，也不是分级防护原则所要求的。要从实际出发，坚持分级防护、突出重点，就必须正确地评 估风险，以便采取有效、科学、客观和经济的措施。 17信息安全风险评估研究报告认为1、加强风险评估工作是当前信息安全工作的客观需要和紧 迫需求。 2、风险评估工作当前是要加快法制建设和技术标准建设； 3、加强风险评估核心技术研究与攻关，重点发展具有自主 知识产权的相关技术和产品，为国家基础信息网络和重要信 息系统的风险评估提供自主可控的工具、模型与实用技术； 4 、加强信息安全风险意识的宣传教育，普及信息安全风险 评估知识；加快培养

10、信息安全风险评估的专门人才。18信息安全风险评估研究报告建议1、信息安全风险评估的总体目标是：服务于国家 信息化发展，促进信息安全保障体系的建设，提高 信息系统的安全保护能力。19信息安全风险评估研究报告建议2、信息安全风险评估的目的是：认清信息安全环 境、信息安全状况；有助于达成共识，明确责任； 采取或完善安全保障措施，使其更加经济有效，并 使信息安全策略保持一致性和持续性。20信息安全风险评估研究报告建议3、信息安全风险评估的形式是：自评估和安全检查评估。安全检查评估由信息安全主管机关或信息系统上级主管机关 发起，依据国家风险评估的管理规范和技术标准进行的检查 评估,通过行政手段加强信息安

11、全的重要措施。包括安全保 密检查、生产安全检查、专项检查等。自评估是信息系统运营或应用单位依靠自身力量或委托有资 质的评估机构，依据国家风险评估的管理规范和技术标准， 对自管的信息系统进行风险评估。 21信息安全风险评估研究报告建议4、信息安全风险评估的主要环节是：信息系统在设计阶段进行风险评估以确定系统的安 全目标；在建设验收阶段进行风险评估以确定系统的安全目 标达到与否；在运行维护阶段要针对安全形势和问题, 定期或不 定期地不断进行风险评估以确定安全措施的有效性 ，确保安全保障目标始终如一得以实现。22信息安全风险评估研究报告建议5、信息安全风险评估的近期工作是：贯彻落实27号文件；建立健

12、全和完善信息系统安全风险评估 的工作机制；统筹建设信息安全风险评估的基础设施和基础环境。启动评估工作流程、工作规范标准的研究与制定；推进基础 信息网络和重要信息系统的风险评估试点示范工作；加强宣传教育，提高风险意识。23 标准草案编制阶段根据信息安全风险评估研究报告近期工作的建议, 2004年三月下旬 课题组专家经过充分的讨论与分析，报国务院信息办安全组批准,开展了 信息安全风险评估指南和信息安全风险管理指南二个规范草案 的制定。国家信息中心信息安全研究与服务中心在课题组专家的指导下，组织了 近二十家有实际工作经验的企事业单位约四十多人，开了二十多次工作 会议，进行了信息安全风险评估标准规范草

13、案的制定工作； 到九月下旬, 完成信息安全风险评估指南和信息安全风险管理指 南二个规范草案的初稿。 2004年全国信息安全标准化技术委员会将信息安全风险评估指南列 入2005年度国家信息安全标准制定工作计划中, 将信息安全风险管理 指南列入国家信息安全标准研究工作规划中。24信息安全风险评估指南信息安全风险评估指南规定了信息安全风险评 估的工作流程、评估内容、评估方法和风险判断准 则，适用于信息系统的使用单位进行自我风险评估 ，以及风险评估机构对信息系统进行独立的风险评 估。主要用以识别信息系统中存在的风险；为确立信息 系统安全等级提供参考；指导信息系统的安全管理 ；为执法部门监督提供参考；信

14、息系统建设完成后 ，验收时用于参考；为信息系统业务发生变更时提 供安全参考。25信息安全风险评估指南信息安全风险评估指南分为两个部分：第一部分：主体 部分。主要介绍风险评估的定义、风险评估的模型以及风险 评估的实施过程。对资产、威胁和脆弱性的识别进行了详细 的描述，同时描述了风险评估在信息系统生命周期中的作用 ，以及风险评估的不同形式。指南将原则性与可操作性进行 有机的结合，既为风险评估的实施者、信息安全管理人员以 及相关人员提供风险评估的依据，同时也力求避免评估过程 的僵化。第二部分：附录部分。包括信息安全风险评估的方法、工具 介绍和一个实施案例。目的是使用户了解到风险评估方法的 多样性和灵

15、活性。26信息安全风险管理指南信息安全风险管理指南定义了信息安全风险管理的内容和过程。风 险管理的目的和意义是风险管理可使信息系统的主管者和运营者在安全 措施的成本与资产价值之间寻求平衡，并最终通过对支持其使命的信息 系统及数据进行保护而提高其使命能力。风险管理由三个部分组成：风险评估、风险减缓以及基于风险的决策。 风险评估过程将全面评估信息系统的资产、威胁、脆弱性以及现有的安 全措施，分析安全事件发生的可能性以及可能的损失，从而确定信息系 统的风险，并判断风险的优先级，建议处理风险的措施。基于风险评估的结果，风险处理过程将考察信息安全措施的成本，选择 合适的方法处理风险，将风险控制到可接受的

16、程度。基于风险的决策是 风险管理的最后过程，旨在由信息系统的主管者或运营者判断残余风险 是否处在可接受的水平之内。基于这一判断，主管者或运营者将做出决 策，决定是否允许信息系统运行。27 全国试点工作阶段2005年春节前夕，国务院信息办安全组决定在前两 年课题组风险评估研究工作的基础上，由国务院信 息办组织, 在北京市、上海市、黑龙江省、云南省 、人民银行、国家税务总局、国家电力总公司和国 家信息中心八个部门开展风险评估试点工作，目的是在现有基础信息网络和重要信息系统的管理 体制下，探索如何推进开展信息安全风险评估工作 ，检验草拟的国家标准草案的可行性与可用性，为 推广信息安全风险评估工作和国家出台相关政策文 件做前期准备。28 全国试点工作阶段在试点工作中将解决和搞清楚以下