收藏
下载资源

风险管理与信息安全风险评估

上传人:大米 文档编号:567641179 上传时间:2024-07-21 格式:PPT 页数:44 大小:328.50KB
返回 下载 相关 举报
风险管理与信息安全风险评估_第1页
第1页 / 共44页
风险管理与信息安全风险评估_第2页
第2页 / 共44页
风险管理与信息安全风险评估_第3页
第3页 / 共44页
风险管理与信息安全风险评估_第4页
第4页 / 共44页
风险管理与信息安全风险评估_第5页
第5页 / 共44页
点击查看更多>>
资源描述

《风险管理与信息安全风险评估》由会员分享,可在线阅读,更多相关《风险管理与信息安全风险评估(44页珍藏版)》请在金锄头文库上搜索。

1、风险管理与信息安全风险评估风险管理与信息安全风险评估国家信息中心国家信息中心2005.12来自中国最大的资料库下载 提提 纲纲一:信息化一:信息化风险及及风险管理研究管理研究 二:信息安全二:信息安全风险评估估贵在在实践践 三、三、试点点经验宝宝贵来自中国最大的资料库下载 一:信息化风险及风险管理研究一:信息化风险及风险管理研究随着信息化的发展,信息化的风险与随着信息化的发展,信息化的风险与风险管理问题已经成为各个国家、国风险管理问题已经成为各个国家、国际组织所普遍关注的问题。际组织所普遍关注的问题。 信息化的风险管理,其中信息安全风信息化的风险管理,其中信息安全风险和保障网络空间的安全已经成

2、为关险和保障网络空间的安全已经成为关系信息化能否健康发展的重大问题。系信息化能否健康发展的重大问题。 来自中国最大的资料库下载 一、信息化风险的定义一、信息化风险的定义风险指行指行动或者事件的或者事件的结果的不确定性果的不确定性(uncertainty of outcome)。 信息化的信息化的风险被界定被界定为信息化可能或者信息化可能或者实际带来的消极威来的消极威胁。风险管理泛指管理泛指评估估风险、确、确认风险、回、回应风险的的过程。程。 来自中国最大的资料库下载 二、信息化风险的主要特征二、信息化风险的主要特征 全球性传染性复杂性隐蔽性来自中国最大的资料库下载 三、信息化风险的内在原因三、

3、信息化风险的内在原因 基本原因在于内因,由信息化自身的特点所基本原因在于内因,由信息化自身的特点所决定决定第一,信息化的无疆界特征;第一,信息化的无疆界特征;第二,信息化的低成本特征;第二,信息化的低成本特征;第三,信息化的开放性特征;第三,信息化的开放性特征;第四,信息化的匿名性特征。第四,信息化的匿名性特征。 来自中国最大的资料库下载 第一,自然灾害第一,自然灾害第二,误操作和安全生产事故;第二,误操作和安全生产事故;第三,病毒、蠕虫以及网络攻击;第三,病毒、蠕虫以及网络攻击;第四,由于信任体系不完善,借助信息化手段进行欺第四,由于信任体系不完善,借助信息化手段进行欺诈;诈;第五,因内部因

4、素而造成的信息、数据的修改和丢失第五,因内部因素而造成的信息、数据的修改和丢失和内部泄密;和内部泄密; ;第六,因外部因素造成信息、数据的泄露、篡改和丢第六,因外部因素造成信息、数据的泄露、篡改和丢失;失;第七,安全防范措施不到位的高端技术。第七,安全防范措施不到位的高端技术。四、外四、外 部部 原原 因因来自中国最大的资料库下载 五、我国信息安全风险的生成机理五、我国信息安全风险的生成机理 第一,战略能力不足,规划不明确。第一,战略能力不足,规划不明确。(1)缺乏项目的建设战略)缺乏项目的建设战略(2)缺乏项目的中长期发展规划)缺乏项目的中长期发展规划(3)缺乏明确项目的发展步骤)缺乏明确项

5、目的发展步骤(4)缺乏项目的阶段性绩效标准)缺乏项目的阶段性绩效标准来自中国最大的资料库下载 第二,领导与组织能力不到位,统筹协调不力。第二,领导与组织能力不到位,统筹协调不力。(1)领导对于风险管理的重视不足,忽视电子化政府)领导对于风险管理的重视不足,忽视电子化政府项目的高风险等具体问题;项目的高风险等具体问题;(2)行政改革与创新的方向性错误;)行政改革与创新的方向性错误; (3)组织信息化目标的错误设定,片面追求上网,忽)组织信息化目标的错误设定,片面追求上网,忽视服务质量;视服务质量; (4)跨部门之信息化进程的协调问题;)跨部门之信息化进程的协调问题; (5)重复建设问题)重复建设

6、问题 ;(6)信息化项目未能及时完成,预算超支问题;)信息化项目未能及时完成,预算超支问题;(7)信息孤岛问题)信息孤岛问题 ;(8)项目难以有效评估或评测的问题)项目难以有效评估或评测的问题 。 来自中国最大的资料库下载 第三,投资管理的能力差,项目管理体系不成熟。第三,投资管理的能力差,项目管理体系不成熟。(1)对项目投资管理的理念认识和关注不足;)对项目投资管理的理念认识和关注不足; (2)项目的投目的投资基基础(投(投资负责机构、提出候机构、提出候选项目并予目并予以以筛选、对投投资项目的目的选定与定与实施施过程的程的监督、捕督、捕获投投资信息等)建信息等)建设不完善;不完善; (3)在

7、)在项目的投目的投资过程(包括相关程(包括相关筛选、控制和、控制和评估估标准准的确立,的确立,对实施后的复施后的复查等)机制不健全;等)机制不健全; (4)在投)在投资的的过程管理中,存在薄弱程管理中,存在薄弱环节,无法做到全流,无法做到全流程的程的“无无缝隙管理隙管理”; (5)在)在优化投化投资过程方面,往往无法程方面,往往无法实现项目投目投资的的战略略性成果。性成果。 来自中国最大的资料库下载 第四,资金的预算和管理能力差。第四,资金的预算和管理能力差。(1)对信息安全投资的风险未做预测,或预)对信息安全投资的风险未做预测,或预测不准;测不准;(2)资金支持不足;)资金支持不足;(3)无

8、法寻求足够的社会资金来源;)无法寻求足够的社会资金来源;(4)信息安全投资的回报难以监控和评估。)信息安全投资的回报难以监控和评估。 来自中国最大的资料库下载 第五,人力资源不足。第五,人力资源不足。(1)缺乏信息安全风险管理的人员和能力;)缺乏信息安全风险管理的人员和能力;(2)缺乏具备充足信息安全管理资格的人员;)缺乏具备充足信息安全管理资格的人员;(3)培)培训跟不上跟不上项目的目的进程,培程,培训效果差;效果差; (4)项目核心人目核心人员的流的流动问题。 来自中国最大的资料库下载 第六,法律与政策不足。第六,法律与政策不足。我国目前的信息安全的法制工作发展较为缓我国目前的信息安全的法

9、制工作发展较为缓慢;慢;首先,缺乏首先,缺乏对信息化的全面立法支持,缺乏信息化的全面立法支持,缺乏保障政府信息化的基本法律,如政府信息公保障政府信息化的基本法律,如政府信息公开法、政府信息开法、政府信息资源管理法。源管理法。其次,缺乏其次,缺乏对信息安全信息安全风险的制度性的制度性规范,范,如信息如信息风险手册等。手册等。再次,原有的一些法律已不能适再次,原有的一些法律已不能适应信息化信息化时代的要求,如著作代的要求,如著作权法、法、专利法、刑法等。利法、刑法等。 来自中国最大的资料库下载 第七,保护隐私,数据安全,技术管理方面的不足。第七,保护隐私,数据安全,技术管理方面的不足。 在泄露隐私

10、方面:在泄露隐私方面:(1)不当授)不当授权他人或机构他人或机构滥用用用用户信息;信息;(2)未遵循法律或法)未遵循法律或法规制定相制定相应的的隐私和私和记录管理政策。管理政策。 在影响数据安全方面:在影响数据安全方面:(1)工作人)工作人员对安全因素和措施缺乏足安全因素和措施缺乏足够认知;知; (2)难以解决相关安全以解决相关安全问题; (3)病毒或黑客攻)病毒或黑客攻击导致系致系统瘫痪; (4)由于一个主要系)由于一个主要系统瘫痪导致其它系致其它系统的失灵。的失灵。 来自中国最大的资料库下载 六、信息安全风险的应对战略和政策六、信息安全风险的应对战略和政策(一)明确政府的角色,强化信息安全

11、风险管(一)明确政府的角色,强化信息安全风险管理的责任理的责任(二)建立和发展信息安全风险管理的文化(二)建立和发展信息安全风险管理的文化(三)做好国家信息安全的薄弱环节识别,减(三)做好国家信息安全的薄弱环节识别,减少信息化系统中的问题少信息化系统中的问题(四)通过有效的教育和培训提高和强化整个(四)通过有效的教育和培训提高和强化整个社会的信息安全风险管理和安全意识与能力社会的信息安全风险管理和安全意识与能力(五)强化信息化相关的立法,建立有效的管(五)强化信息化相关的立法,建立有效的管制机制,以防止和化解信息安全风险制机制,以防止和化解信息安全风险来自中国最大的资料库下载 (六)建立健全国

12、家信息化的技术安全平台,(六)建立健全国家信息化的技术安全平台,通过安全技术的发展保障信息化系统的安全通过安全技术的发展保障信息化系统的安全(七)采取有效的措施,确保敏感性信息和国(七)采取有效的措施,确保敏感性信息和国家重要信息基础设施的安全家重要信息基础设施的安全(八)保障政府系统的安全(八)保障政府系统的安全(九)建立国家网络空间安全的危机管理系统(九)建立国家网络空间安全的危机管理系统(十)通过信息的共享和广泛的合作,化解信(十)通过信息的共享和广泛的合作,化解信息安全风险息安全风险来自中国最大的资料库下载 提提 纲纲一:信息化一:信息化风险及及风险管理研究管理研究二:信息安全风险评估

13、 贵在实践三、三、试点点经验宝宝贵来自中国最大的资料库下载 党中央、国务院高度重视网络与信息安全党中央、国务院高度重视网络与信息安全工作工作中办发200327号文件提出了加强信息安全保障工作的总体要求和主要原则,并在工作部署中,将信息安全风险评估作为一项重要的举措; 2004年1月9日,黄菊同志在关于“全面加强信息安全全面加强信息安全保障工作,促进信息化健康发展保障工作,促进信息化健康发展”的讲话中,提出了 “抓紧研究制定基础信息网络和重要信息系统风险评抓紧研究制定基础信息网络和重要信息系统风险评估的管理规范,并组织力量提供技术支持。根据风险估的管理规范,并组织力量提供技术支持。根据风险评估结

14、果,进行相应等级的安全建设和管理,特别是评估结果,进行相应等级的安全建设和管理,特别是对涉及国家机密的信息系统,要按照党和国家有关保对涉及国家机密的信息系统,要按照党和国家有关保密规定进行保护。对涉及国计民生的重要信息系统,密规定进行保护。对涉及国计民生的重要信息系统,要进行必要的信息安全检查。要进行必要的信息安全检查。” 的明确要求 来自中国最大的资料库下载 深刻认识开展信息安全风险评估工作的深刻认识开展信息安全风险评估工作的重要意义重要意义如何确切掌握网络和信息系统的安全程度、分析安全威如何确切掌握网络和信息系统的安全程度、分析安全威胁来自何方、安全风险有多大,加强信息安全保障工作胁来自何

15、方、安全风险有多大,加强信息安全保障工作应采取哪些措施,要投入多少人力、财力和物力;确定应采取哪些措施,要投入多少人力、财力和物力;确定已采取的信息安全措施是否有效以及提出按照相应信息已采取的信息安全措施是否有效以及提出按照相应信息安全等级进行安全建设和管理的依据等一系列具体问题。安全等级进行安全建设和管理的依据等一系列具体问题。风险评估是解决上述问题的重要方法和基础性工作。系风险评估是解决上述问题的重要方法和基础性工作。系统的安全性可通过风险大小来度量统的安全性可通过风险大小来度量, 科学地分析系统在保科学地分析系统在保密性、完整性、可用性等方面所面临的威胁,发现系统密性、完整性、可用性等方

16、面所面临的威胁,发现系统安全的主要问题和矛盾,就能够在安全风险的预防、减安全的主要问题和矛盾,就能够在安全风险的预防、减少、转移、补偿和分散等之间做出决策,最大限度地控少、转移、补偿和分散等之间做出决策,最大限度地控制和化解安全威胁。制和化解安全威胁。网络信息系统的安全建设都要在风险评估基础上网络信息系统的安全建设都要在风险评估基础上,成为信成为信息化建设的内在要求,系统主管部门和运营、应用单位息化建设的内在要求,系统主管部门和运营、应用单位必须做好本系统信息安全风险评估工作。必须做好本系统信息安全风险评估工作。 来自中国最大的资料库下载 我对风险评估工作指导思想和原则的理解我国风险评估工作应

17、立足国情,以我为主,突出重点、我国风险评估工作应立足国情,以我为主,突出重点、整合资源,逐步建成有中国特色的风险评估体系,为全整合资源,逐步建成有中国特色的风险评估体系,为全面提高国家的信息安全保障能力而服务。面提高国家的信息安全保障能力而服务。 风险评估是信息系统安全管理的基础工作和重要环节。风险评估是信息系统安全管理的基础工作和重要环节。我国基础信息网络和国家电子政务系统、主要新闻媒体我国基础信息网络和国家电子政务系统、主要新闻媒体和一批涉及能源、交通、通信、战略物资等国家重要信和一批涉及能源、交通、通信、战略物资等国家重要信息系统,风险评估必须遵守以下原则:息系统,风险评估必须遵守以下原

18、则:国家指导、政府国家指导、政府监管,统一规范、分类指导,突出重点、兼顾一般,军监管,统一规范、分类指导,突出重点、兼顾一般,军民结合、分工协作。民结合、分工协作。目前我国风险评估实施重点是基础网络和重要信息系统。目前我国风险评估实施重点是基础网络和重要信息系统。同时兼顾其它信息系统,加强指导,确保各类网络和信同时兼顾其它信息系统,加强指导,确保各类网络和信息系统的风险评估工作能够健康、有序进行。息系统的风险评估工作能够健康、有序进行。来自中国最大的资料库下载 对风险评估总体要求的理解风险评估工作总体要求是:风险评估工作总体要求是:充分发挥和调动各方面力量,运用风险管理的思想,充分发挥和调动各

19、方面力量,运用风险管理的思想,通过风险评估,控制和降低风险,全面提高信息系通过风险评估,控制和降低风险,全面提高信息系统防护能力,满足信息安全需求,逐步建成有中国统防护能力,满足信息安全需求,逐步建成有中国特色的风险评估体系。特色的风险评估体系。评估我国基础信息网络和重要信息系统,掌握我国评估我国基础信息网络和重要信息系统,掌握我国基础信息网络和重要信息系统的安全状态,及时采基础信息网络和重要信息系统的安全状态,及时采取合适的应对措施,保障它们的正常运行。取合适的应对措施,保障它们的正常运行。通过对国家级重点电子政务系统、电子商务系统以通过对国家级重点电子政务系统、电子商务系统以及重要信息基础

20、设施的风险评估工作,从中摸索经及重要信息基础设施的风险评估工作,从中摸索经验,不断探索,逐步完善我国风险评估工作的管理验,不断探索,逐步完善我国风险评估工作的管理机制。机制。 来自中国最大的资料库下载 四、建立风险评估基本管理制度的建议1、风险评估制度。风险评估制度。包括信息系统在设计阶段要进行风险评估以确定包括信息系统在设计阶段要进行风险评估以确定系统的安全目标;在建设验收阶段要进行风险评估以确定系统的安系统的安全目标;在建设验收阶段要进行风险评估以确定系统的安全目标达到与否;在运行维护阶段要针对安全形势和问题定期或不全目标达到与否;在运行维护阶段要针对安全形势和问题定期或不定期地不断进行风

21、险评估以确定安全措施的有效性,确保安全保障定期地不断进行风险评估以确定安全措施的有效性,确保安全保障目标始终如一得以实现。目标始终如一得以实现。2、信息安全检查制度与自评估制度信息安全检查制度与自评估制度。信息安全检查由信息安全主管机关或信息系统上级主管机关发起,信息安全检查由信息安全主管机关或信息系统上级主管机关发起,依据国家风险评估的管理规范和技术标准进行的检查评估依据国家风险评估的管理规范和技术标准进行的检查评估,通过行政通过行政手段加强信息安全的重要措施。包括安全保密检查、生产安全检查、手段加强信息安全的重要措施。包括安全保密检查、生产安全检查、专项检查等。专项检查等。自评估是信息系统

22、运营或应用单位依靠自身力量,依据国家风险评自评估是信息系统运营或应用单位依靠自身力量,依据国家风险评估的管理规范和技术标准,对系统进行风险评估的工作。估的管理规范和技术标准,对系统进行风险评估的工作。 3、系统安全准入制度系统安全准入制度。按照谁主管谁负责、谁运营谁负责的要求,。按照谁主管谁负责、谁运营谁负责的要求,信息系统上级主管机关依据自评估或信息安全检查的结果,决定是信息系统上级主管机关依据自评估或信息安全检查的结果,决定是否批准信息系统投入建设或运行。信息系统安全准入工作应纳入基否批准信息系统投入建设或运行。信息系统安全准入工作应纳入基础信息网络和重要信息系统安全管理体系。础信息网络和

23、重要信息系统安全管理体系。来自中国最大的资料库下载 我国风险评估的几项任务1、建立风险评估基本管理制度建立风险评估基本管理制度2、加强风险评估工作队伍的建设、加强风险评估工作队伍的建设加强风险评估工作队伍的建设是做好风险评估工作的前提。建议在条件相对成熟的情况下,在已有基础上,整合资源,形成一支承担国家基础信息网络和重要信息系统的风险评估的骨干力量,负责国家基础信息网络和重要信息系统风险评估工作。3、提出信息安全等级保护和风险评估相关联的指导原则、提出信息安全等级保护和风险评估相关联的指导原则针对不同的信息系统实施信息安全等级保护的重要原则,要针对不同信息安全等级的信息系统,提出进行风险评估工

24、作所遵循的相应评估准则、工作模式和工作流程,作为各部门、各单位安全风险评估指南的补充,同时丰富和完善对不同类型、不同等级的信息系统实施信息安全等级保护的具体内容。来自中国最大的资料库下载 落实风险评估建设的相关措施落实风险评估建设的相关措施1、加强法规建设和标准化工作加强法规建设和标准化工作按照我国信息化发展需求,逐步完善我国风险评估相关的法律法规体系,形按照我国信息化发展需求,逐步完善我国风险评估相关的法律法规体系,形成和完善满足我国信息化建设需要的风险评估标准体系,规范我国风险评估成和完善满足我国信息化建设需要的风险评估标准体系,规范我国风险评估执法主体行为,实现管理法制化和规范化。执法主

25、体行为,实现管理法制化和规范化。2、保证风险评估工作必要的经费、保证风险评估工作必要的经费通过国家财政正式立项,对国家基础网络和重要信息系统风险评估工作、国通过国家财政正式立项,对国家基础网络和重要信息系统风险评估工作、国家安全风险评估试点示范项目、相关法规和标准研究和相关基础研究与人才家安全风险评估试点示范项目、相关法规和标准研究和相关基础研究与人才培训等项目给予资金支持,保证配套经费的落实。培训等项目给予资金支持,保证配套经费的落实。3、统筹建设国家风险评估的基础设施和基础环境、统筹建设国家风险评估的基础设施和基础环境统筹建设国家基础信息网络和重要信息系统风险评估的基础设施和基础环境,统筹

26、建设国家基础信息网络和重要信息系统风险评估的基础设施和基础环境,将风险评估国家重点实验室的建设纳入国家信息安全保障基础设施的建设规将风险评估国家重点实验室的建设纳入国家信息安全保障基础设施的建设规划,构建风险分析试验环境,组织研制开发科学、实用的检查、评估工具,划,构建风险分析试验环境,组织研制开发科学、实用的检查、评估工具,开展风险评估技术、理论、标准的研究开展风险评估技术、理论、标准的研究;建立国家风险评估数据库,积累资料,建立国家风险评估数据库,积累资料,全面提高国家风险评估水平。全面提高国家风险评估水平。4、加强风险评估核心技术研究与攻关研究、加强风险评估核心技术研究与攻关研究国家要加

27、强风险评估核心技术研究与攻关,通过技术创新,增强风险评估核国家要加强风险评估核心技术研究与攻关,通过技术创新,增强风险评估核心技术的竞争力,适应时代发展的要求,力争在近几年内在核心环节有较大心技术的竞争力,适应时代发展的要求,力争在近几年内在核心环节有较大的突破的突破。来自中国最大的资料库下载 提纲提纲一、信息化一、信息化风险及及风险管理研究管理研究二:信息安全二:信息安全风险评估估贵在在实践践三、试点经验宝贵来自中国最大的资料库下载 研究了试点工作目的研究了试点工作目的试点工作的目的是点工作的目的是:在在现有管理体制下,摸索如何开展信息安全有管理体制下,摸索如何开展信息安全风险评估工作,估工

28、作,检验草草拟的的风险评估相关估相关标准准规范的可行性与可用性,范的可行性与可用性,为全面推广信息安全全面推广信息安全风险评估工作和国家出台估工作和国家出台关于信息安全关于信息安全风险评估工作意估工作意见做前期准做前期准备。在在试点工作中将探点工作中将探讨以下以下问题:探索探索风险评估管理机制的建估管理机制的建设,研究如何落,研究如何落实中中办发27号文件号文件“谁主主管管谁负责谁运运营谁负责”的原的原则, 包括信息安全包括信息安全风险评估的估的领导体体制、制、协调机制、机制、审查与批准、与批准、监管、督察和管、督察和备案等内容;明确信息安案等内容;明确信息安全全风险评估的角色、估的角色、责任

29、、方法、任、方法、过程及程及结果果摸索摸索协同开展同开展风险评估工作和信息安全等估工作和信息安全等级保保护工作、保密工作、保密检查工作工作的的实践践经验;检验和完善信息安全和完善信息安全风险评估管理估管理规范与技范与技术标准;准;了解信息安全了解信息安全检查评估和自估和自评估模式的效果与不足估模式的效果与不足;来自中国最大的资料库下载 明确专家组工作基本思路明确专家组工作基本思路在在2004年工作的基年工作的基础上,国信上,国信办安全安全组决定决定今年正式启今年正式启动风险评估估试点工作点工作,明确了明确了专家家组的角色:的角色:立足咨立足咨询服服务,协助助试点点单位位主要任主要任务:参与参与

30、讨论和完善和完善“信息安全信息安全风险评估工作意估工作意见” 协助助风险评估估试点点单位做好位做好试点工作点工作做好信息安全做好信息安全风险评估培估培训和咨和咨询工作工作加加紧修修订和宣和宣贯风险评估估试行行标准准来自中国最大的资料库下载 确定选择试点单位确定选择试点单位1、条件条件试点点单位的信息化系位的信息化系统已具有一定的已具有一定的规模,模,试点点单位位应具具备自自己的技己的技术一定的、一定的、专业队伍和伍和评估估实践践经验。2、范、范围信息化程度信息化程度较高的行高的行业部部门的信息系的信息系统,如金融、税,如金融、税务、电力;力;建建设发展中的展中的电子政子政务重要信息系重要信息系

31、统;部分涉密信息系部分涉密信息系统;信息化程度不同的地方信息化程度不同的地方单位。位。专家家组提出建提出建议,协助国信助国信办确定确定试点入点入选单位。位。来自中国最大的资料库下载 协助国信办提出试点工作阶段划分的建议专家家组建建议试点工作划分点工作划分为以下几个以下几个阶段:段:1、准、准备阶段段 成立成立试点工作点工作组织机构,制定机构,制定试点工作点工作规范范 选定定试点点单位位2、实施施阶段段组织对试点点单位位进行行评估方法和技估方法和技术的培的培训;试点点单位位进行行评估,并向国信估,并向国信办提交工作提交工作报告;告; 组织交流和研交流和研讨,小,小结试点点单位位评估估经验,提出整

32、改建,提出整改建议3、总结阶段段来自中国最大的资料库下载 积极参与了试点工作协助修助修订关于开展信息安全关于开展信息安全风险评估工作的意估工作的意见,提供,提供相关的咨相关的咨询和技和技术支持。支持。参与参与试点的相关咨点的相关咨询工作工作1、准、准备阶段:段:组织八个八个试点点单位的相关人位的相关人员进行培行培训,明确,明确风险评估流程和估流程和风险评估准估准备阶段的任段的任务,协助助试点点单位制定其位制定其风险评估估实施方案。施方案。标准培准培训试点方案点方案编制的培制的培训2、实施施阶段:段:调研研试点方案点方案实施情况,了解施情况,了解试点点单位位对评估及管理估及管理的流程、方法、工具

33、的使用存在的的流程、方法、工具的使用存在的问题,充,充实和完善和完善标准。准。选择重点重点单位位进行行调研,并研,并对关关键阶段段进行蹲点,以切行蹲点,以切实了解了解单位位试点点工作工作过程中存在的程中存在的问题,为两个两个标准的完善提供准的完善提供实践素材;践素材;进行行试点中期点中期总结,为指指导意意见提供提供阶段性素材;段性素材;根据根据试点点单位需求,位需求,进行有行有针对性的培性的培训和咨和咨询,协助完成助完成试点工作点工作来自中国最大的资料库下载 积极参与了试点工作(续)(续)总结阶段:段:协助国信助国信办汇总试点工作情况,点工作情况,总结修改意修改意见,并完善,并完善标准。准。在

34、各在各试点点单位正式位正式总结之前,召开之前,召开专家家组评审会;会;为国信国信办试点工作点工作总结提供基提供基础素材。素材。标准的完善准的完善充充实和完善和完善信息安全信息安全风险评估指南估指南和和信息安全信息安全风险管理指南管理指南,通,通过试点工作提出两个点工作提出两个标准的修改准的修改意意见。同。同时进行与行与标准相关的配套理准相关的配套理论、方法和、方法和规范范的研究。的研究。来自中国最大的资料库下载 试点工作与标准验证试点工作与标准验证试点工作点工作对去年国信去年国信办组织制定的两制定的两项试行行标准准进行行了了验证,提出了修,提出了修订建建议绝大多数大多数试点点单位大都参照了去年

35、国信位大都参照了去年国信办和国家安和国家安标委委组织编写的写的信息安全信息安全风险评估指南估指南及及信息安信息安全全风险管理指南管理指南。试点点单位大都位大都结合自身的具体情况,合自身的具体情况,选择了相了相应的的评估方法和适当的安全控制措施及管理流程,估方法和适当的安全控制措施及管理流程,实践践经验证明各明各试点点单位位评估基于的基本原估基于的基本原则和核心方法与和核心方法与试行行标准指南大体吻合一致。准指南大体吻合一致。 来自中国最大的资料库下载 收获和体会收获和体会提高了提高了对风险评估工作的估工作的认识和理解和理解科学方法、科学方法、长效机制效机制为国信国信办风险评估工作文件起草估工作

36、文件起草积累了素材累了素材检验了了标准,两准,两项试行行标准得到了肯定准得到了肯定初步初步规范了范了评估内容,演估内容,演练了了评估的估的实施流程施流程试行了部分行了部分评估技估技术方法,重方法,重视了了评估的科学性估的科学性评估方法的百花估方法的百花齐放和放和创新性新性体体现了了创新,新,积累了成果,培累了成果,培训了人才了人才来自中国最大的资料库下载 试点工作技术上特点计划比划比较周密周密注意控制了注意控制了评估自身的估自身的风险注意遵循和注意遵循和验证标准准讨论稿稿及及时总结经验和和问题始始终重重视人才培养人才培养在技在技术上通上通过评估方法的多估方法的多样化,化,进行了行了有益的探索有

37、益的探索来自中国最大的资料库下载 典型方法之一:综合风险计算法典型方法之一:综合风险计算法规范范评估估过程程摸清家底:划分摸清家底:划分资产类型,建立重要型,建立重要资产清清单,识别资产重要性重要性分析威分析威胁和分析脆弱性两种途径和分析脆弱性两种途径按按层次分析脆弱性次分析脆弱性判定安全判定安全时间及其影响及其影响计算威算威胁风险值制定制定风险控制措施控制措施来自中国最大的资料库下载 典型方法之四:面向关键信息资产的评估方法典型方法之四:面向关键信息资产的评估方法 (续)(续)威威胁路径分析法路径分析法面向关面向关键信息信息资产的的层次分析法次分析法利用等利用等级保保护支撑平台的支撑平台的评

38、估方法估方法 来自中国最大的资料库下载 试点工作出现了一批成果试点工作出现了一批成果上海市的上海市的风险评估管理估管理软件件评估模型和方法的估模型和方法的创新与探索新与探索北京市利用了已有的工具平台,形成了北京市利用了已有的工具平台,形成了评估估辅助工具平台助工具平台黑黑龙江提出了基于模糊江提出了基于模糊综合判定理合判定理论的的风险评估判定方法估判定方法既有量化的探索,也有定性既有量化的探索,也有定性为主的探索主的探索云南提出了增加云南提出了增加业务流分析和已有控制措流分析和已有控制措施的有效性施的有效性识别或判定或判定来自中国最大的资料库下载 试点工作出现了一批成果(续)试点工作出现了一批成

39、果(续)国家税国家税务总局提出了差距分析法,局提出了差距分析法,细化了化了流程流程国国电公司提出了符合行公司提出了符合行业特点的方法,初特点的方法,初步形成了行步形成了行业安全安全评估方法估方法论,涵盖了安,涵盖了安全定全定义、安全、安全评测和和风险分析的全分析的全过程程来自中国最大的资料库下载 试点工作发现的问题试点工作发现的问题技技术评测工具,工具, 缺乏缺乏统一的要求和一的要求和资质认定定模模拟环境或境或联机旁路机旁路测试环境的不完境的不完备和缺乏和缺乏测试深度的不平衡深度的不平衡管理管理标准准规范范试行行标准指南准指南总体得到肯定,但尚需体得到肯定,但尚需进一步完一步完善善来自中国最大

40、的资料库下载 下一步建议下一步建议认真真总结经验统一一规划、建立制度。制定国家基划、建立制度。制定国家基础网网络和重要信息系和重要信息系统的的风险评估估总体体规划以及划以及“十一五十一五”期期间的工作的工作计划。划。积极推极推进风险评估基本管理制度的建立;估基本管理制度的建立;应尽快就国家基尽快就国家基础信息网信息网络和重要信息和重要信息系系统风险评估工作所涉及的估工作所涉及的领导体制、体制、协调机制、机制、认证与与认可、可、监管和督察、管和督察、评估估时间、评估估对象、象、评估范估范围、评估方式、估方式、评估估人人员资质、评估估结果果发布和布和备案等内容,案等内容,进一步开展研究,形成一步开

41、展研究,形成风险评估工作管理法估工作管理法规制度制度加快建立、逐步完善加快建立、逐步完善标准准规范体系。范体系。标准准规范是推广和范是推广和实施施风险评估工作的法律依据和技估工作的法律依据和技术保障,要加快保障,要加快风险评估管理与技估管理与技术标准的制定和完善,准的制定和完善, 研究研究评估机构服估机构服务标准、准、资质认可与可与资质的核的核查评估的管理估的管理办法;尽快出台国家法;尽快出台国家标准。准。来自中国最大的资料库下载 建建设独立自主、符合国独立自主、符合国际惯例的例的风险评估技估技术支撑体系支撑体系举国家之力,支持建国家之力,支持建设独立自主、符合国独立自主、符合国际惯例的例的风

42、险评估技估技术支撑体系。支撑体系。建建设国家基国家基础信息网信息网络和重要信息系和重要信息系统风险评估的基估的基础设施和基施和基础环境;境;落落实开开发相关技相关技术和和产品的攻关品的攻关项目。通目。通过研研发自主自主关关键技技术和和设备,满足国家网足国家网络基基础设施和重要信息施和重要信息系系统的的风险评估需求,支持安全估需求,支持安全评估估应用用逐步建立符合国逐步建立符合国际惯例、达到国例、达到国际先先进水平的安全水平的安全评估技估技术支撑体系支撑体系来自中国最大的资料库下载 安全测试评估工具、平台与环境安全测试评估工具、平台与环境促进建立国家信息安全测试评估体系促进建立国家信息安全测试评

43、估体系促进建立国家信息安全测试评估体系促进建立国家信息安全测试评估体系形成示范应用形成示范应用形成示范应用形成示范应用产品和系统产品和系统产品和系统产品和系统测试评估工具测试评估工具测试评估工具测试评估工具产品和系统产品和系统产品和系统产品和系统测试评估支撑环境测试评估支撑环境测试评估支撑环境测试评估支撑环境建立先进的测试评估标准体系和开发环境建立先进的测试评估标准体系和开发环境系统等级保护测试系统等级保护测试系统等级保护测试系统等级保护测试评估平台评估平台评估平台评估平台安全测试评估技术与系统安全测试评估技术与系统来自中国最大的资料库下载 下一步建议(续)下一步建议(续)加加强风险评估工作估

44、工作队伍的建伍的建设,重,重视培培训、建立、建立风险评估机构管理制度估机构管理制度在已有基在已有基础上,整合上,整合资源,分源,分类指指导,组建不同等建不同等级的的风险评估估机构,分机构,分别承担国家和地方基承担国家和地方基础信息网信息网络和重要信息系和重要信息系统以及本以及本行行业信息系信息系统风险评估工作,形成估工作,形成风险评估的骨干力量。估的骨干力量。风险评估敏感性很估敏感性很强,如果引,如果引导不当,管理不到位,有可能因不当,管理不到位,有可能因为风险评估估带来新的安全来新的安全隐患。患。对国家基国家基础信息网信息网络和重要信息系和重要信息系统的的风险评估,估,实行行资质准入制度,只充准入制度,只充许经国家批准的国家批准的风险评估机构估机构实施施风险评估。国家必估。国家必须加加强风险评估估评估工作的管理,估工作的管理,建立服建立服务标准、准、资质认可与可与资质核核查评估制度。估制度。来自中国最大的资料库下载 限于水平和精力,限于水平和精力,专家家组工作,工作,还有有许多不到之多不到之处,欢迎批迎批评指正指正!谢谢 谢谢!在国信在国信办领导的指的指导下,下,专家家组工作得到了工作得到了各各试点点单位的大力支持,位的大力支持,对此此专家家组向地向地试点点单位表示衷心的感位表示衷心的感谢!

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 资格认证/考试 > 自考

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号