宏觀經(jīng)濟(jì)管理系統(tǒng)討論專題 系統(tǒng)總體結(jié)構(gòu) 2002-12-9

,信息安全風(fēng)險(xiǎn)評(píng)估,國(guó)家信息中心信息安全研究與服務(wù)中心吳亞非,隨著國(guó)民經(jīng)濟(jì)和社會(huì)信息化進(jìn)程的全面加快，網(wǎng)絡(luò)和信息系統(tǒng)的基礎(chǔ)性、全局性作用日益增強(qiáng),國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展對(duì)基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的依賴性越來(lái)越大，由此而產(chǎn)生的信息安全問(wèn)題對(duì)國(guó)家安全的影響日益增加、日益突出。網(wǎng)絡(luò)與信息安全已上升為一個(gè)事關(guān)國(guó)家政治穩(wěn)定、社會(huì)安定、經(jīng)濟(jì)有序運(yùn)行和社會(huì)主義精神文明建設(shè)的全局性問(wèn)題。,黨中央、國(guó)務(wù)院高度重視網(wǎng)絡(luò)與信息安全工作,中辦發(fā)200327號(hào)文件提出了加強(qiáng)信息安全保障工作的總體要求和主要原則，并在工作部署中，將信息安全風(fēng)險(xiǎn)評(píng)估作為一項(xiàng)重要的舉措;2004年1月9日，黃菊同志在關(guān)于“全面加強(qiáng)信息安全保障工作，促進(jìn)信息化健康發(fā)展”的講話中，提出了“抓緊研究制定基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的管理規(guī)范，并組織力量提供技術(shù)支持。根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果，進(jìn)行相應(yīng)等級(jí)的安全建設(shè)和管理，特別是對(duì)涉及國(guó)家機(jī)密的信息系統(tǒng)，要按照黨和國(guó)家有關(guān)保密規(guī)定進(jìn)行保護(hù)。對(duì)涉及國(guó)計(jì)民生的重要信息系統(tǒng)，要進(jìn)行必要的信息安全檢查?！钡拿鞔_要求,黨中央、國(guó)務(wù)院高度重視網(wǎng)絡(luò)與信息安全工作,黨的十六屆四中全會(huì)，更是把信息安全和政治安全、經(jīng)濟(jì)安全、文化安全放在同等重要的位置并列提出，這在我們黨的歷史上是前所未有的。,開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作的重要意義,如何確切掌握網(wǎng)絡(luò)和信息系統(tǒng)的安全程度、分析安全威脅來(lái)自何方、安全風(fēng)險(xiǎn)有多大，加強(qiáng)信息安全保障工作應(yīng)采取哪些措施，要投入多少人力、財(cái)力和物力；確定已采取的信息安全措施是否有效以及提出按照相應(yīng)信息安全等級(jí)進(jìn)行安全建設(shè)和管理的依據(jù)等一系列具體問(wèn)題。風(fēng)險(xiǎn)評(píng)估是解決上述問(wèn)題的重要方法和基礎(chǔ)性工作。系統(tǒng)的安全性可通過(guò)風(fēng)險(xiǎn)大小來(lái)度量,科學(xué)地分析系統(tǒng)在保密性、完整性、可用性等方面所面臨的威脅，發(fā)現(xiàn)系統(tǒng)安全的主要問(wèn)題和矛盾，就能夠在安全風(fēng)險(xiǎn)的預(yù)防、減少、轉(zhuǎn)移、補(bǔ)償和分散等之間做出決策，最大限度地控制和化解安全威脅。,開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作的概況,調(diào)查研究階段標(biāo)準(zhǔn)草案編制階段全國(guó)試點(diǎn)工作階段,調(diào)查研究階段,2003年7月組建成立“信息安全風(fēng)險(xiǎn)評(píng)估課題組”，對(duì)信息安全風(fēng)險(xiǎn)評(píng)估工作的現(xiàn)狀進(jìn)行全面深入了解，提出我國(guó)開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估的對(duì)策和辦法，為下一步信息安全的建設(shè)和管理做準(zhǔn)備。2003年8月至12月,課題組先后對(duì)四個(gè)地區(qū)(北京、廣州、深圳和上海)，十幾個(gè)行業(yè)的50多家單位進(jìn)行了深入細(xì)致的調(diào)查與研究，召開(kāi)了9次座談會(huì)，經(jīng)過(guò)四個(gè)多月的努力,完成了約十萬(wàn)字的信息安全風(fēng)險(xiǎn)評(píng)估調(diào)查報(bào)告、信息安全風(fēng)險(xiǎn)評(píng)估研究報(bào)告文稿；其中信息安全風(fēng)險(xiǎn)評(píng)估研究報(bào)告列為2004年1月全國(guó)信息安全保障會(huì)議的傳閱文件。,信息安全風(fēng)險(xiǎn)評(píng)估調(diào)查報(bào)告認(rèn)為,各單位對(duì)信息安全風(fēng)險(xiǎn)評(píng)估的重視程度與信息化程度成正比關(guān)系,信息安全風(fēng)險(xiǎn)評(píng)估調(diào)查報(bào)告認(rèn)為,國(guó)內(nèi)現(xiàn)階段信息安全風(fēng)險(xiǎn)評(píng)估狀況國(guó)內(nèi)部門、地區(qū)和單位現(xiàn)階段風(fēng)險(xiǎn)評(píng)估狀況可分為以下幾類：一是有認(rèn)識(shí)、有行動(dòng)、有措施、有效果；二是有認(rèn)識(shí)、有行動(dòng)、但措施不當(dāng)；三是有認(rèn)識(shí)、無(wú)行動(dòng)、無(wú)措施；四是無(wú)認(rèn)識(shí)、無(wú)行動(dòng)、無(wú)措施。部門、地區(qū)和單位發(fā)展不平衡。行業(yè)單位重視風(fēng)險(xiǎn)評(píng)估的一個(gè)重要原因是“安全事件驅(qū)動(dòng)”。,信息安全風(fēng)險(xiǎn)評(píng)估調(diào)查報(bào)告認(rèn)為,信息安全風(fēng)險(xiǎn)評(píng)估不規(guī)范。目前國(guó)內(nèi)現(xiàn)在還沒(méi)有一個(gè)典型意義上、系統(tǒng)、完整的信息安全風(fēng)險(xiǎn)評(píng)估。有的風(fēng)險(xiǎn)評(píng)估往往只給出一個(gè)籠統(tǒng)的報(bào)告；有的只是用技術(shù)工具測(cè)一測(cè)，沒(méi)有系統(tǒng)規(guī)范評(píng)論，而且對(duì)于風(fēng)險(xiǎn)評(píng)估需要分級(jí)分類的觀點(diǎn)也未達(dá)成共識(shí)；由于沒(méi)有評(píng)估標(biāo)準(zhǔn),對(duì)同一個(gè)系統(tǒng)評(píng)估,不同評(píng)估單位得出不同的評(píng)估結(jié)果。,信息安全風(fēng)險(xiǎn)評(píng)估調(diào)查報(bào)告認(rèn)為,存在的主要問(wèn)題1、無(wú)組織管理機(jī)構(gòu)2、法制建設(shè)欠缺3、管理標(biāo)準(zhǔn)與技術(shù)標(biāo)準(zhǔn)滯后4、風(fēng)險(xiǎn)評(píng)估人才匱乏,4、風(fēng)險(xiǎn)評(píng)估人才匱乏,信息安全風(fēng)險(xiǎn)評(píng)估研究報(bào)告指出,1、信息系統(tǒng)的安全性可以通過(guò)風(fēng)險(xiǎn)的大小來(lái)度量,通過(guò)科學(xué)地分析系統(tǒng)在保密性、完整性、可用性等方面所面臨的威脅，發(fā)現(xiàn)系統(tǒng)安全的主要問(wèn)題和矛盾，就能夠在安全風(fēng)險(xiǎn)的預(yù)防、減少、轉(zhuǎn)移、補(bǔ)償和分散等之間做出決策，最大限度地控制和化解安全威脅。,信息安全風(fēng)險(xiǎn)評(píng)估研究報(bào)告指出,2、信息安全風(fēng)險(xiǎn)評(píng)估是解決如何確切掌握網(wǎng)絡(luò)和信息系統(tǒng)的安全程度、分析安全威脅來(lái)自何方、安全風(fēng)險(xiǎn)有多大，加強(qiáng)信息安全保障工作應(yīng)采取哪些措施，要投入多少人力、財(cái)力和物力,確定已采取的信息安全措施是否有效以及提出按照相應(yīng)信息安全等級(jí)進(jìn)行安全建設(shè)和管理的依據(jù)等一系列具體問(wèn)題的重要方法和基礎(chǔ)性工作。,信息安全風(fēng)險(xiǎn)評(píng)估研究報(bào)告指出,3、信息安全風(fēng)險(xiǎn)評(píng)估工作則是指依據(jù)國(guó)家有關(guān)信息安全技術(shù)標(biāo)準(zhǔn)，對(duì)信息系統(tǒng)及由其處理、傳輸和存儲(chǔ)的信息的保密性、完整性和可用性等安全屬性進(jìn)行科學(xué)評(píng)價(jià)的過(guò)程，它要評(píng)估信息系統(tǒng)的脆弱性、信息系統(tǒng)面臨的威脅以及脆弱性被威脅源利用后所產(chǎn)生的實(shí)際負(fù)面影響，并根據(jù)安全事件發(fā)生的可能性和負(fù)面影響的程度來(lái)識(shí)別信息系統(tǒng)的安全風(fēng)險(xiǎn)。,信息安全風(fēng)險(xiǎn)評(píng)估研究報(bào)告提出,1、風(fēng)險(xiǎn)評(píng)估是信息系統(tǒng)安全的基礎(chǔ)性工作信息安全中的風(fēng)險(xiǎn)評(píng)估是傳統(tǒng)的風(fēng)險(xiǎn)理論和方法在信息系統(tǒng)中的運(yùn)用，是科學(xué)地分析和理解信息與信息系統(tǒng)在保密性、完整性、可用性等方面所面臨的風(fēng)險(xiǎn)，并在風(fēng)險(xiǎn)的減少、轉(zhuǎn)移和規(guī)避等風(fēng)險(xiǎn)控制方法之間做出決策的過(guò)程。風(fēng)險(xiǎn)評(píng)估將導(dǎo)出信息系統(tǒng)的安全需求，因此，所有信息安全建設(shè)都應(yīng)該以風(fēng)險(xiǎn)評(píng)估為起點(diǎn)。信息安全建設(shè)的最終目的是服務(wù)于信息化，但其直接目的是為了控制安全風(fēng)險(xiǎn)。,信息安全風(fēng)險(xiǎn)評(píng)估研究報(bào)告提出,2、風(fēng)險(xiǎn)評(píng)估是分級(jí)防護(hù)和突出重點(diǎn)的具體體現(xiàn)信息安全建設(shè)必須從實(shí)際出發(fā)，堅(jiān)持分級(jí)防護(hù)、突出重點(diǎn)。風(fēng)險(xiǎn)評(píng)估正是這一要求在實(shí)際工作中的具體體現(xiàn)。從理論上講，不存在絕對(duì)的安全，實(shí)踐中也不可能做到絕對(duì)安全，風(fēng)險(xiǎn)總是客觀存在的。安全是風(fēng)險(xiǎn)與成本的綜合平衡。盲目追求安全和完全回避風(fēng)險(xiǎn)是不現(xiàn)實(shí)的，也不是分級(jí)防護(hù)原則所要求的。要從實(shí)際出發(fā)，堅(jiān)持分級(jí)防護(hù)、突出重點(diǎn)，就必須正確地評(píng)估風(fēng)險(xiǎn)，以便采取有效、科學(xué)、客觀和經(jīng)濟(jì)的措施。,信息安全風(fēng)險(xiǎn)評(píng)估研究報(bào)告認(rèn)為,1、加強(qiáng)風(fēng)險(xiǎn)評(píng)估工作是當(dāng)前信息安全工作的客觀需要和緊迫需求。2、風(fēng)險(xiǎn)評(píng)估工作當(dāng)前是要加快法制建設(shè)和技術(shù)標(biāo)準(zhǔn)建設(shè)；3、加強(qiáng)風(fēng)險(xiǎn)評(píng)估核心技術(shù)研究與攻關(guān)，重點(diǎn)發(fā)展具有自主知識(shí)產(chǎn)權(quán)的相關(guān)技術(shù)和產(chǎn)品，為國(guó)家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估提供自主可控的工具、模型與實(shí)用技術(shù)；4、加強(qiáng)信息安全風(fēng)險(xiǎn)意識(shí)的宣傳教育，普及信息安全風(fēng)險(xiǎn)評(píng)估知識(shí)；加快培養(yǎng)信息安全風(fēng)險(xiǎn)評(píng)估的專門人才。,信息安全風(fēng)險(xiǎn)評(píng)估研究報(bào)告建議,1、信息安全風(fēng)險(xiǎn)評(píng)估的總體目標(biāo)是：服務(wù)于國(guó)家信息化發(fā)展，促進(jìn)信息安全保障體系的建設(shè)，提高信息系統(tǒng)的安全保護(hù)能力。,信息安全風(fēng)險(xiǎn)評(píng)估研究報(bào)告建議,2、信息安全風(fēng)險(xiǎn)評(píng)估的目的是：認(rèn)清信息安全環(huán)境、信息安全狀況；有助于達(dá)成共識(shí)，明確責(zé)任；采取或完善安全保障措施，使其更加經(jīng)濟(jì)有效，并使信息安全策略保持一致性和持續(xù)性。,信息安全風(fēng)險(xiǎn)評(píng)估研究報(bào)告建議,3、信息安全風(fēng)險(xiǎn)評(píng)估的形式是：自評(píng)估和安全檢查評(píng)估。安全檢查評(píng)估由信息安全主管機(jī)關(guān)或信息系統(tǒng)上級(jí)主管機(jī)關(guān)發(fā)起，依據(jù)國(guó)家風(fēng)險(xiǎn)評(píng)估的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行的檢查評(píng)估,通過(guò)行政手段加強(qiáng)信息安全的重要措施。包括安全保密檢查、生產(chǎn)安全檢查、專項(xiàng)檢查等。自評(píng)估是信息系統(tǒng)運(yùn)營(yíng)或應(yīng)用單位依靠自身力量或委托有資質(zhì)的評(píng)估機(jī)構(gòu)，依據(jù)國(guó)家風(fēng)險(xiǎn)評(píng)估的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，對(duì)自管的信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估。,信息安全風(fēng)險(xiǎn)評(píng)估研究報(bào)告建議,4、信息安全風(fēng)險(xiǎn)評(píng)估的主要環(huán)節(jié)是：信息系統(tǒng)在設(shè)計(jì)階段進(jìn)行風(fēng)險(xiǎn)評(píng)估以確定系統(tǒng)的安全目標(biāo)；在建設(shè)驗(yàn)收階段進(jìn)行風(fēng)險(xiǎn)評(píng)估以確定系統(tǒng)的安全目標(biāo)達(dá)到與否；在運(yùn)行維護(hù)階段要針對(duì)安全形勢(shì)和問(wèn)題,定期或不定期地不斷進(jìn)行風(fēng)險(xiǎn)評(píng)估以確定安全措施的有效性，確保安全保障目標(biāo)始終如一得以實(shí)現(xiàn)。,信息安全風(fēng)險(xiǎn)評(píng)估研究報(bào)告建議,5、信息安全風(fēng)險(xiǎn)評(píng)估的近期工作是：貫徹落實(shí)27號(hào)文件；建立健全和完善信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的工作機(jī)制；統(tǒng)籌建設(shè)信息安全風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)設(shè)施和基礎(chǔ)環(huán)境。啟動(dòng)評(píng)估工作流程、工作規(guī)范標(biāo)準(zhǔn)的研究與制定；推進(jìn)基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估試點(diǎn)示范工作；加強(qiáng)宣傳教育，提高風(fēng)險(xiǎn)意識(shí)。,標(biāo)準(zhǔn)草案編制階段,根據(jù)信息安全風(fēng)險(xiǎn)評(píng)估研究報(bào)告近期工作的建議,2004年三月下旬課題組專家經(jīng)過(guò)充分的討論與分析，報(bào)國(guó)務(wù)院信息辦安全組批準(zhǔn),開(kāi)展了信息安全風(fēng)險(xiǎn)評(píng)估指南和信息安全風(fēng)險(xiǎn)管理指南二個(gè)規(guī)范草案的制定。國(guó)家信息中心信息安全研究與服務(wù)中心在課題組專家的指導(dǎo)下，組織了近二十家有實(shí)際工作經(jīng)驗(yàn)的企事業(yè)單位約四十多人，開(kāi)了二十多次工作會(huì)議，進(jìn)行了信息安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)規(guī)范草案的制定工作；到九月下旬,完成信息安全風(fēng)險(xiǎn)評(píng)估指南和信息安全風(fēng)險(xiǎn)管理指南二個(gè)規(guī)范草案的初稿。2004年全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)將信息安全風(fēng)險(xiǎn)評(píng)估指南列入2005年度國(guó)家信息安全標(biāo)準(zhǔn)制定工作計(jì)劃中,將信息安全風(fēng)險(xiǎn)管理指南列入國(guó)家信息安全標(biāo)準(zhǔn)研究工作規(guī)劃中。,信息安全風(fēng)險(xiǎn)評(píng)估指南,信息安全風(fēng)險(xiǎn)評(píng)估指南規(guī)定了信息安全風(fēng)險(xiǎn)評(píng)估的工作流程、評(píng)估內(nèi)容、評(píng)估方法和風(fēng)險(xiǎn)判斷準(zhǔn)則，適用于信息系統(tǒng)的使用單位進(jìn)行自我風(fēng)險(xiǎn)評(píng)估，以及風(fēng)險(xiǎn)評(píng)估機(jī)構(gòu)對(duì)信息系統(tǒng)進(jìn)行獨(dú)立的風(fēng)險(xiǎn)評(píng)估。主要用以識(shí)別信息系統(tǒng)中存在的風(fēng)險(xiǎn)；為確立信息系統(tǒng)安全等級(jí)提供參考；指導(dǎo)信息系統(tǒng)的安全管理；為執(zhí)法部門監(jiān)督提供參考；信息系統(tǒng)建設(shè)完成后，驗(yàn)收時(shí)用于參考；為信息系統(tǒng)業(yè)務(wù)發(fā)生變更時(shí)提供安全參考。,信息安全風(fēng)險(xiǎn)評(píng)估指南,信息安全風(fēng)險(xiǎn)評(píng)估指南分為兩個(gè)部分：第一部分：主體部分。主要介紹風(fēng)險(xiǎn)評(píng)估的定義、風(fēng)險(xiǎn)評(píng)估的模型以及風(fēng)險(xiǎn)評(píng)估的實(shí)施過(guò)程。對(duì)資產(chǎn)、威脅和脆弱性的識(shí)別進(jìn)行了詳細(xì)的描述，同時(shí)描述了風(fēng)險(xiǎn)評(píng)估在信息系統(tǒng)生命周期中的作用，以及風(fēng)險(xiǎn)評(píng)估的不同形式。指南將原則性與可操作性進(jìn)行有機(jī)的結(jié)合，既為風(fēng)險(xiǎn)評(píng)估的實(shí)施者、信息安全管理人員以及相關(guān)人員提供風(fēng)險(xiǎn)評(píng)估的依據(jù)，同時(shí)也力求避免評(píng)估過(guò)程的僵化。第二部分：附錄部分。包括信息安全風(fēng)險(xiǎn)評(píng)估的方法、工具介紹和一個(gè)實(shí)施案例。目的是使用戶了解到風(fēng)險(xiǎn)評(píng)估方法的多樣性和靈活性。,信息安全風(fēng)險(xiǎn)管理指南,信息安全風(fēng)險(xiǎn)管理指南定義了信息安全風(fēng)險(xiǎn)管理的內(nèi)容和過(guò)程。風(fēng)險(xiǎn)管理的目的和意義是風(fēng)險(xiǎn)管理可使信息系統(tǒng)的主管者和運(yùn)營(yíng)者在安全措施的成本與資產(chǎn)價(jià)值之間尋求平衡，并最終通過(guò)對(duì)支持其使命的信息系統(tǒng)及數(shù)據(jù)進(jìn)行保護(hù)而提高其使命能力。風(fēng)險(xiǎn)管理由三個(gè)部分組成：風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)減緩以及基于風(fēng)險(xiǎn)的決策。風(fēng)險(xiǎn)評(píng)估過(guò)程將全面評(píng)估信息系統(tǒng)的資產(chǎn)、威脅、脆弱性以及現(xiàn)有的安全措施，分析安全事件發(fā)生的可能性以及可能的損失，從而確定信息系統(tǒng)的風(fēng)險(xiǎn)，并判斷風(fēng)險(xiǎn)的優(yōu)先級(jí)，建議處理風(fēng)險(xiǎn)的措施?；陲L(fēng)險(xiǎn)評(píng)估的結(jié)果，風(fēng)險(xiǎn)處理過(guò)程將考察信息安全措施的成本，選擇合適的方法處理風(fēng)險(xiǎn)，將風(fēng)險(xiǎn)控制到可接受的程度?；陲L(fēng)險(xiǎn)的決策是風(fēng)險(xiǎn)管理的最后過(guò)程，旨在由信息系統(tǒng)的主管者或運(yùn)營(yíng)者判斷殘余風(fēng)險(xiǎn)是否處在可接受的水平之內(nèi)?；谶@一判斷，主管者或運(yùn)營(yíng)者將做出決策，決定是否允許信息系統(tǒng)運(yùn)行。,全國(guó)試點(diǎn)工作階段,2005年春節(jié)前夕，國(guó)務(wù)院信息辦安全組決定在前兩年課題組風(fēng)險(xiǎn)評(píng)估研究工作的基礎(chǔ)上，由國(guó)務(wù)院信息辦組織,在北京市、上海市、黑龍江省、云南省、人民銀行、國(guó)家稅務(wù)總局、國(guó)家電力總公司和國(guó)家信息中心八個(gè)部門開(kāi)展風(fēng)險(xiǎn)評(píng)估試點(diǎn)工作，目的是在現(xiàn)有基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的管理體制下，探索如何推進(jìn)開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作，檢驗(yàn)草擬的國(guó)家標(biāo)準(zhǔn)草案的可行性與可用性，為推廣信息安全風(fēng)險(xiǎn)評(píng)估工作和國(guó)家出臺(tái)相關(guān)政策文件做前期準(zhǔn)備。,全國(guó)試點(diǎn)工作階段,在試點(diǎn)工作中將解決和搞清楚以下問(wèn)題：1、探索信息安全風(fēng)險(xiǎn)評(píng)估管理機(jī)制的建設(shè)，研究如何落實(shí)中辦發(fā)27號(hào)文件“誰(shuí)主管誰(shuí)負(fù)責(zé)誰(shuí)運(yùn)營(yíng)誰(shuí)負(fù)責(zé)”的原則，包括信息安全風(fēng)險(xiǎn)評(píng)估的領(lǐng)導(dǎo)體制、協(xié)調(diào)機(jī)制、審查與批準(zhǔn)、監(jiān)管、督察和備案等內(nèi)容；明確信息安全風(fēng)險(xiǎn)評(píng)估的角色、責(zé)任、方法、過(guò)程及結(jié)果2、摸索協(xié)同開(kāi)展風(fēng)險(xiǎn)評(píng)估工作和信息安全等級(jí)保護(hù)工作、保密檢查工作的實(shí)踐經(jīng)驗(yàn)；3、完善信息安全風(fēng)險(xiǎn)評(píng)估管理規(guī)范與技術(shù)標(biāo)準(zhǔn)；4、了解信息安全檢查評(píng)估和自評(píng)估模式的效果與不足；5、完善國(guó)家相關(guān)政策文件。