管理資源我國信息安全風(fēng)險(xiǎn)評估工作的現(xiàn)狀與發(fā)展65

我國信息平安風(fēng)險(xiǎn)評估工作的現(xiàn)狀與開展國家信息中心信息平安研究與效勞中心吳亞非一、信息平安風(fēng)險(xiǎn)評估概述二、為什么要做信息平安風(fēng)險(xiǎn)評估三、我國信息平安風(fēng)險(xiǎn)評估回憶四、信息平安風(fēng)險(xiǎn)評估今后三年的開展信息平安風(fēng)險(xiǎn)評估的概念信息系統(tǒng)的平安風(fēng)險(xiǎn)信息系統(tǒng)的平安風(fēng)險(xiǎn)，是指由于系統(tǒng)存在的脆弱性，人為或自然的威脅導(dǎo)致平安事件發(fā)生的可能性及其造成的影響。信息平安風(fēng)險(xiǎn)評估是指依據(jù)國家有關(guān)信息技術(shù)標(biāo)準(zhǔn)，對信息系統(tǒng)及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等平安屬性進(jìn)行科學(xué)評價(jià)的過程它要評估信息系統(tǒng)的脆弱性、信息系統(tǒng)面臨的威脅以及脆弱性被威脅源利用后所產(chǎn)生的實(shí)際負(fù)面影響，并根據(jù)平安事件發(fā)生的可能性和負(fù)面影響的程度來識別信息系統(tǒng)的平安風(fēng)險(xiǎn)。信息平安風(fēng)險(xiǎn)評估人們的認(rèn)識能力和實(shí)踐能力是有局限性的，因此，信息系統(tǒng)存在脆弱性是不可防止的。信息系統(tǒng)的價(jià)值及其存在的脆弱性，使信息系統(tǒng)在現(xiàn)實(shí)環(huán)境中，總要面臨各種人為與自然的威脅，存在平安風(fēng)險(xiǎn)也是必然的。信息平安建設(shè)的宗旨之一，就是在綜合考慮本錢與效益的前提下，通過平安措施來控制風(fēng)險(xiǎn)，使剩余風(fēng)險(xiǎn)降低到可接受的程度。信息平安風(fēng)險(xiǎn)評估因?yàn)槿魏涡畔⑾到y(tǒng)都會有平安風(fēng)險(xiǎn)，所以，人們追求的所謂平安的信息系統(tǒng)，實(shí)際是指信息系統(tǒng)在實(shí)施了風(fēng)險(xiǎn)評估并做出風(fēng)險(xiǎn)控制后，仍然存在的剩余風(fēng)險(xiǎn)可被接受的信息系統(tǒng)。因此，要追求信息系統(tǒng)的平安，就不能脫離全面、完整的信息系統(tǒng)的平安評估，就必須運(yùn)用信息系統(tǒng)平安風(fēng)險(xiǎn)評估的思想和標(biāo)準(zhǔn)，對信息系統(tǒng)開展平安風(fēng)險(xiǎn)評估。

風(fēng)險(xiǎn)評估的意義和作用1.風(fēng)險(xiǎn)評估是信息系統(tǒng)平安的根底性工作信息平安中的風(fēng)險(xiǎn)評估是傳統(tǒng)的風(fēng)險(xiǎn)理論和方法在信息系統(tǒng)中的運(yùn)用，是科學(xué)地分析和理解信息與信息系統(tǒng)在保密性、完整性、可用性等方面所面臨的風(fēng)險(xiǎn)，并在風(fēng)險(xiǎn)的減少、轉(zhuǎn)移和躲避等風(fēng)險(xiǎn)控制方法之間做出決策的過程。風(fēng)險(xiǎn)評估將導(dǎo)出信息系統(tǒng)的平安需求，因此，所有信息平安建設(shè)都應(yīng)該以風(fēng)險(xiǎn)評估為起點(diǎn)。信息平安建設(shè)的最終目的是效勞于信息化，但其直接目的是為了控制平安風(fēng)險(xiǎn)。風(fēng)險(xiǎn)評估的意義和作用只有在正確、全面地了解和理解平安風(fēng)險(xiǎn)后，才能決定如何處理平安風(fēng)險(xiǎn)，從而在信息平安的投資、信息平安措施的選擇、信息平安保障體系的建設(shè)等問題中做出合理的決策。進(jìn)一步，持續(xù)的風(fēng)險(xiǎn)評估工作可以成為檢查信息系統(tǒng)本身乃至信息系統(tǒng)擁有單位的績效的有力手段，風(fēng)險(xiǎn)評估的結(jié)果能夠供相關(guān)主管單位參考，并使主管單位通過行政手段對信息系統(tǒng)的立項(xiàng)、投資、運(yùn)行產(chǎn)生影響，促進(jìn)信息系統(tǒng)擁有單位加強(qiáng)信息平安建設(shè)。風(fēng)險(xiǎn)評估的意義和作用2.風(fēng)險(xiǎn)評估是分級防護(hù)和突出重點(diǎn)的具體表達(dá)信息平安建設(shè)的根本原那么包括必須從實(shí)際出發(fā)，堅(jiān)持分級防護(hù)、突出重點(diǎn)。風(fēng)險(xiǎn)評估正是這一要求在實(shí)際工作中的具體表達(dá)。從理論上講，不存在絕對的平安，實(shí)踐中也不可能做到絕對平安，風(fēng)險(xiǎn)總是客觀存在的。平安是風(fēng)險(xiǎn)與本錢的綜合平衡。盲目追求平安和完全回避風(fēng)險(xiǎn)是不現(xiàn)實(shí)的，也不是分級防護(hù)原那么所要求的。要從實(shí)際出發(fā)，堅(jiān)持分級防護(hù)、突出重點(diǎn)，就必須正確地評估風(fēng)險(xiǎn)，以便采取科學(xué)、客觀、經(jīng)濟(jì)和有效的措施。風(fēng)險(xiǎn)評估的意義和作用3.加強(qiáng)風(fēng)險(xiǎn)評估工作是當(dāng)前信息平安工作的客觀需要和緊迫需求由于信息技術(shù)的飛速開展，關(guān)系國計(jì)民生的關(guān)鍵信息根底設(shè)施的規(guī)模越來越大，同時(shí)也極大地增加了系統(tǒng)的復(fù)雜程度。興旺國家越來越重視信息平安風(fēng)險(xiǎn)評估工作，提倡風(fēng)險(xiǎn)評估制度化。他們提出，沒有有效的風(fēng)險(xiǎn)評估，便會導(dǎo)致信息平安需求與平安解決方案的嚴(yán)重脫離。因此，他們強(qiáng)調(diào)“沒有任何事情比解決錯(cuò)誤的問題和建立錯(cuò)誤的系統(tǒng)更沒有效率的了。〞這些興旺國家近年來大力加強(qiáng)了以風(fēng)險(xiǎn)評估為核心的信息系統(tǒng)平安評估工作，并通過法規(guī)、標(biāo)準(zhǔn)手段加以保障，逐步以此形成了橫跨立法、行政、司法的完整的信息平安管理體系。在我國目前的國情下，為加強(qiáng)宏觀信息平安管理，促進(jìn)信息平安保障體系建設(shè)，就必須加強(qiáng)風(fēng)險(xiǎn)評估工作，并逐步使風(fēng)險(xiǎn)評估工作朝向制度化的方向開展。信息平安風(fēng)險(xiǎn)評估的目標(biāo)和目的信息系統(tǒng)平安風(fēng)險(xiǎn)評估的總體目標(biāo)是：效勞于國家信息化開展，促進(jìn)信息平安保障體系的建設(shè)，提高信息系統(tǒng)的平安保護(hù)能力。信息系統(tǒng)平安風(fēng)險(xiǎn)評估的目的是：認(rèn)清信息平安環(huán)境、信息平安狀況；有助于達(dá)成共識，明確責(zé)任；采取或完善平安保障措施，使其更加經(jīng)濟(jì)有效，并使信息平安策略保持一致性和持續(xù)性。信息平安風(fēng)險(xiǎn)評估的根本要素使命：一個(gè)單位通過信息化實(shí)現(xiàn)的工作任務(wù)。依賴度：一個(gè)單位的使命對信息系統(tǒng)和信息的依靠程度。資產(chǎn)：通過信息化建設(shè)積累起來的信息系統(tǒng)、信息、生產(chǎn)或效勞能力、人員能力和贏得的信譽(yù)等。價(jià)值：資產(chǎn)的重要程度和敏感程度。威脅：一個(gè)單位的信息資產(chǎn)的平安可能受到的侵害。威脅由多種屬性來刻畫：威脅的主體〔威脅源〕、能力、資源、動機(jī)、途徑、可能性和后果。信息平安風(fēng)險(xiǎn)評估的根本要素脆弱性：信息資產(chǎn)及其防護(hù)措施在平安方面的缺乏和弱點(diǎn)。脆弱性也常常被稱為漏洞。風(fēng)險(xiǎn)：由于系統(tǒng)存在的脆弱性，人為或自然的威脅導(dǎo)致平安事件發(fā)生的可能性及其造成的影響。它由平安事件發(fā)生的可能性及其造成的影響這兩種指標(biāo)來衡量。剩余風(fēng)險(xiǎn)：采取了平安防護(hù)措施，提高了防護(hù)能力后，仍然可能存在的風(fēng)險(xiǎn)。信息平安風(fēng)險(xiǎn)評估的根本要素平安需求：為保證單位的使命能夠正常行使，在信息平安防護(hù)措施方面提出的要求。平安防護(hù)措施：對付威脅，減少脆弱性，保護(hù)資產(chǎn)，限制意外事件的影響，檢測、響應(yīng)意外事件，促進(jìn)災(zāi)難恢復(fù)和打擊信息犯罪而實(shí)施的各種實(shí)踐、規(guī)程和機(jī)制的總稱。風(fēng)險(xiǎn)評估對信息系統(tǒng)生命周期的支持生命周期階段階段特征來自風(fēng)險(xiǎn)管理活動的支持階段1——規(guī)劃和啟動提出信息系統(tǒng)的目的、需求、規(guī)模和安全要求。風(fēng)險(xiǎn)評估活動可用于確定信息系統(tǒng)安全需求。階段2——設(shè)計(jì)開發(fā)或采購信息系統(tǒng)設(shè)計(jì)、購買、開發(fā)或建造。在本階段標(biāo)識的風(fēng)險(xiǎn)可以用來為信息系統(tǒng)的安全分析提供支持，這可能會影響到系統(tǒng)在開發(fā)過程中要對體系結(jié)構(gòu)和設(shè)計(jì)方案進(jìn)行權(quán)衡。階段3——集成實(shí)現(xiàn)信息系統(tǒng)的安全特性應(yīng)該被配置、激活、測試并得到驗(yàn)證。風(fēng)險(xiǎn)評估可支持對系統(tǒng)實(shí)現(xiàn)效果的評價(jià)，考察其是否能滿足要求，并考察系統(tǒng)所運(yùn)行的環(huán)境是否是預(yù)期設(shè)計(jì)的。有關(guān)風(fēng)險(xiǎn)的一系列決策必須在系統(tǒng)運(yùn)行之前做出。階段4——運(yùn)行和維護(hù)信息系統(tǒng)開始執(zhí)行其功能，一般情況下系統(tǒng)要不斷修改，添加硬件和軟件，或改變機(jī)構(gòu)的運(yùn)行規(guī)則、策略或流程等。當(dāng)定期對系統(tǒng)進(jìn)行重新評估時(shí)，或者信息系統(tǒng)在其運(yùn)行性生產(chǎn)環(huán)境（例如新的系統(tǒng)接口）中做出重大變更時(shí)，要對其進(jìn)行風(fēng)險(xiǎn)評估活動。階段5——廢棄本階段涉及到對信息、硬件和軟件的廢棄。這些活動可能包括信息的移動、備份、丟棄、破壞以及對硬件和軟件進(jìn)行的密級處理。當(dāng)要廢棄或替換系統(tǒng)組件時(shí)，要對其進(jìn)行風(fēng)險(xiǎn)評估，以確保硬件和軟件得到了適當(dāng)?shù)膹U棄處置，且殘留信息也恰當(dāng)?shù)剡M(jìn)行了處理。并且要確保系統(tǒng)的更新?lián)Q代能以一個(gè)安全和系統(tǒng)化的方式完成。在實(shí)施風(fēng)險(xiǎn)評估中，有時(shí)首先根據(jù)不同級別的威脅對不同價(jià)值的資產(chǎn)可能形成的風(fēng)險(xiǎn)進(jìn)行分級，進(jìn)而選擇適合級別的保證措施。這是一種平安需求提煉的過程。對于方案和已經(jīng)建設(shè)的系統(tǒng)，那么應(yīng)該考慮和分析測試系統(tǒng)可能存在的脆弱性。上述工作流程應(yīng)該是一個(gè)不斷重復(fù)的循環(huán)過程，從不同階段進(jìn)入風(fēng)險(xiǎn)評估工作也可能進(jìn)行簡化其中的某些步驟。風(fēng)險(xiǎn)評估理論和工具通俗的講，信息系統(tǒng)平安追求的是入侵和破壞行為，面對信息系統(tǒng)和信息，進(jìn)不來，看不懂，拿不走，搞不亂。風(fēng)險(xiǎn)評估的理論和工具也應(yīng)該針對這些根本的平安要求，提供檢測、判斷、分析。當(dāng)前，國際上提出了一些廣義傳統(tǒng)的風(fēng)險(xiǎn)評估的理論〔并非特別針對信息系統(tǒng)平安〕。從計(jì)算方法區(qū)分，有定性的方法、定量的方法和局部定量的方法。從實(shí)施手段區(qū)分，有基于樹的技術(shù)、動態(tài)系統(tǒng)的技術(shù)等。定性的方法包括：初步的風(fēng)險(xiǎn)分析〔PreliminaryRiskAnalysis〕危險(xiǎn)和可操作性研究〔HazardandOperabilitystudies(HAZOP)〕失效模式及影響分析〔FailureModeandEffectsAnalysis(FMEA/FMECA)〕基于樹的技術(shù)〔TreeBasedTechniques〕包括：故障樹分析〔Faulttreeanalysis〕事件樹分析〔Eventtreeanalysis〕因果分析〔Cause-ConsequenceAnalysis〕管理失敗風(fēng)險(xiǎn)樹〔ManagementOversightRiskTree〕平安管理組織檢查技術(shù)〔SafetyManagementOrganizationReviewTechnique〕動態(tài)系統(tǒng)的技術(shù)〔TechniquesforDynamicsystem〕包括：嘗試方法〔GoMethod〕有向圖/故障圖〔Digraph/FaultGraph〕馬爾可夫建模〔MarkovModeling〕動態(tài)事件邏輯分析方法學(xué)〔DynamicEventLogicAnalyticalMethodology〕動態(tài)事件樹分析方法〔DynamicEventTreeAnalysisMethod〕評估工具目前存在以下幾類：掃描工具：包括主機(jī)掃描、網(wǎng)絡(luò)掃描、數(shù)據(jù)庫掃描，用于分析系統(tǒng)的常見漏洞；入侵檢測系統(tǒng)〔IDS〕：用于收集與統(tǒng)計(jì)威脅數(shù)據(jù)；滲透性測試工具：黑客工具，用于人工滲透，評估系統(tǒng)的深層次漏洞；主機(jī)平安性審計(jì)工具：用于分析主機(jī)系統(tǒng)配置的平安性；平安管理評價(jià)系統(tǒng)：用于平安訪談，評價(jià)平安管理措施；風(fēng)險(xiǎn)綜合分析系統(tǒng)：在根底數(shù)據(jù)根底上，定量、綜合分析系統(tǒng)的風(fēng)險(xiǎn)，并且提供分類統(tǒng)計(jì)、查詢、TOPN查詢以及報(bào)表輸出功能；評估支撐環(huán)境工具:評估指標(biāo)庫、知識庫、漏洞庫、算法庫、模型庫。綜觀這些理論和工具的現(xiàn)狀，存在的問題是：尚缺乏模型化和形式化描述及證明的科學(xué)深度；需要解決一般化的廣義的理論如何用于信息系統(tǒng)的平安風(fēng)險(xiǎn)評估；定性，定量的理論方法如何更加有效；工具運(yùn)用的結(jié)果如何能夠反映實(shí)質(zhì)，有效測度，準(zhǔn)確無誤；工具的使用如何能夠綜合協(xié)調(diào)。

二、為什么要做信息平安風(fēng)險(xiǎn)評估

為什么要做信息平安風(fēng)險(xiǎn)評估第一，風(fēng)險(xiǎn)評估是分析確定風(fēng)險(xiǎn)的過程。風(fēng)險(xiǎn)是客觀存在的，在日常生活和工作中隨處可見。為了了解系統(tǒng)究竟面臨什么風(fēng)險(xiǎn)、有多大風(fēng)險(xiǎn)，以及應(yīng)該采取什么樣的措施去減少、化解或躲避風(fēng)險(xiǎn)，人們經(jīng)常會提出這樣一些問題：什么地方、什么時(shí)間可能出問題？會出什么性質(zhì)的問題？出問題的可能性有多大？這些問題可能產(chǎn)生的后果是什么？應(yīng)該采取什么樣的措施加以防止和彌補(bǔ)？并總是試圖找出最合理的答案。這個(gè)過程實(shí)際就是風(fēng)險(xiǎn)評估為什么要做信息平安風(fēng)險(xiǎn)評估第二，信息平安風(fēng)險(xiǎn)評估是信息平安建設(shè)的起點(diǎn)和根底，對于信息系統(tǒng)也是如此。所有信息平安建設(shè)和管理都應(yīng)該基于信息平安風(fēng)險(xiǎn)評估，只有這樣，信息平安建設(shè)才能做到從實(shí)際出發(fā)，才能堅(jiān)持需求主導(dǎo)、突出重點(diǎn)，才能以最小的代價(jià)去最大程度地保障信息平安。

為什么要做信息平安風(fēng)險(xiǎn)評估第三，信息平安風(fēng)險(xiǎn)評估是信息平安建設(shè)和管理的科學(xué)方法。風(fēng)險(xiǎn)評估提供了這么一種方法，它是我們傳統(tǒng)經(jīng)驗(yàn)方法的總結(jié)和提升，是風(fēng)險(xiǎn)理論和技術(shù)的具體應(yīng)用。信息平安的一個(gè)最大特點(diǎn)就是看不見摸不著。在不知不覺中就已經(jīng)中了招，在不知不覺中就已經(jīng)遭受了重大損失。信息平安要講加強(qiáng)領(lǐng)導(dǎo)，要講責(zé)任制，但如果沒有科學(xué)的方法和手段，即使領(lǐng)導(dǎo)現(xiàn)場坐鎮(zhèn)，即使人盯死守，也仍然可能發(fā)現(xiàn)不了問題，也仍然可能出問題。這就是27號文件強(qiáng)調(diào)管理與技術(shù)并重的根本原因。

為什么要做信息平安風(fēng)險(xiǎn)評估第四，風(fēng)險(xiǎn)評估實(shí)際上是在倡導(dǎo)一種適度平安。從理論上講，不存在絕對的平安，風(fēng)險(xiǎn)總是客觀存在的。風(fēng)險(xiǎn)評估并不追求零風(fēng)險(xiǎn)、不計(jì)本錢的絕對平安，或者試圖完全消滅風(fēng)險(xiǎn)或防止風(fēng)險(xiǎn)。信息平安風(fēng)險(xiǎn)評估要求在認(rèn)清風(fēng)險(xiǎn)的根底上，決定哪些風(fēng)險(xiǎn)是必須要防止的，哪些風(fēng)險(xiǎn)是可以容忍的。也就是說，信息平安風(fēng)險(xiǎn)評估要求我們算賬，要求我們在風(fēng)險(xiǎn)與建設(shè)和管理本錢之間尋求一個(gè)最正確平衡點(diǎn)。這表達(dá)了信息平安的一個(gè)根本原那么，就是堅(jiān)持從實(shí)際出發(fā)，堅(jiān)持有針對性地進(jìn)行信息平安建設(shè)和管理。這也就是適度平安。

為什么要做信息平安風(fēng)險(xiǎn)評估第五，重視風(fēng)險(xiǎn)評估是信息化興旺國家的重要經(jīng)驗(yàn)。早在上個(gè)世紀(jì)70年代初期美國政府就提出了風(fēng)險(xiǎn)評估的要求，2002年公布的?2002聯(lián)邦信息平安管理法?對信息平安風(fēng)險(xiǎn)評估提出了更加具體的要求。歐洲等其他信息化興旺國家也非常重視開展信息平安風(fēng)險(xiǎn)評估工作，將開展信息平安風(fēng)險(xiǎn)評估工作作為提高信息平安保障水平的重要手段。興旺國家的這些經(jīng)驗(yàn)值得我們學(xué)習(xí)和借鑒。

為什么要做信息平安風(fēng)險(xiǎn)評估2005年2月，美國總統(tǒng)信息技術(shù)參謀委員會〔PITAC〕向美國總統(tǒng)提交了一份研究報(bào)告?網(wǎng)絡(luò)空間平安：迫在眉睫的危機(jī)?，提出美國目前網(wǎng)絡(luò)空間平安所面臨的重大問題包括： 1、IT根底設(shè)施在恐怖和敵對攻擊面前非常脆弱 2、網(wǎng)絡(luò)漏洞和網(wǎng)絡(luò)攻擊增長速度非?？臁?0％－40％〕 3、無所不在的互聯(lián)意味著處處可能存在平安漏洞 4、軟件是主要漏洞的所在 5、無窮無盡的打補(bǔ)丁并不是好的解決方法 6、需要新的根底性平安模型和方法 7、聯(lián)邦政府在研發(fā)工作中的核心地位 8、網(wǎng)絡(luò)空間平安的非技術(shù)因素為了應(yīng)對這些威脅，在?網(wǎng)絡(luò)空間平安：迫在眉睫的危機(jī)?報(bào)告中，PITAC提出了10大優(yōu)先研究工程，其中信息平安風(fēng)險(xiǎn)評估位列其中。其主要研究內(nèi)容包括：〔1〕開發(fā)網(wǎng)絡(luò)空間平安測試方法、評估標(biāo)準(zhǔn)〔2〕風(fēng)險(xiǎn)分析方法和基于不同領(lǐng)域的評估方法〔政治、軍事、經(jīng)濟(jì)等〕〔3〕平安風(fēng)險(xiǎn)以及一致性檢查的自動評估工具的研發(fā)〔4〕對易受到攻擊對象的評估研究工作，如源代碼掃描工具〔5〕通過研究過程管理、配置管理和補(bǔ)丁管理的最正確策略方案，來發(fā)現(xiàn)并提供有效的平安管理實(shí)施方案為什么要做信息平安風(fēng)險(xiǎn)評估三、我國信息平安風(fēng)險(xiǎn)評估回憶

調(diào)查與研究標(biāo)準(zhǔn)編制與試點(diǎn)政策文件起草我國信息平安風(fēng)險(xiǎn)評估回憶2003年7月?國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息平安保障工作的意見?〔中辦發(fā)［2003］27號〕中專門提出開展風(fēng)險(xiǎn)評估的要求：對網(wǎng)絡(luò)與信息系統(tǒng)平安的潛在威脅、薄弱環(huán)節(jié)、防護(hù)措施等進(jìn)行分析評估，綜合考慮網(wǎng)絡(luò)與信息系統(tǒng)的重要性、涉密程度和面臨的風(fēng)險(xiǎn)等因素，進(jìn)行相應(yīng)等級的平安建設(shè)和管理調(diào)查研究工作國信辦平安組為落實(shí)中辦發(fā)2003[27]號文件的要求，于2003年7月決定委托國家信息中心組建“信息平安風(fēng)險(xiǎn)評估課題組〞，對我國信息平安風(fēng)險(xiǎn)評估工作的現(xiàn)狀進(jìn)行調(diào)查，提出我國開展風(fēng)險(xiǎn)評估的對策和方法成員單位：國家信息中心、公安部、平安部、信息產(chǎn)業(yè)部、國家認(rèn)監(jiān)委、國家標(biāo)準(zhǔn)化委、國家密碼管理局、國家保密局、國家計(jì)算機(jī)網(wǎng)絡(luò)與信息平安中心、中國信息平安產(chǎn)品測評認(rèn)證中心、北京市信息辦、解放軍測評認(rèn)證中心調(diào)查研究工作課題組先后對四個(gè)地區(qū)(北京、廣州、深圳和上海)，十幾個(gè)行業(yè)的50多家單位進(jìn)行了調(diào)查完成了?信息平安風(fēng)險(xiǎn)評估調(diào)查報(bào)告?、?信息平安風(fēng)險(xiǎn)評估研究報(bào)告?和?關(guān)于加強(qiáng)信息平安風(fēng)險(xiǎn)評估工作的建議?稿調(diào)查報(bào)告反映的主要情況及問題

被調(diào)查單位信息化程度各有不同對風(fēng)險(xiǎn)評估的重視程度與信息化程度成正比關(guān)系國內(nèi)現(xiàn)階段風(fēng)險(xiǎn)評估狀況風(fēng)險(xiǎn)評估已逐漸成為信息平安的一個(gè)新的點(diǎn)發(fā)現(xiàn)的八個(gè)問題，其中評估流程不標(biāo)準(zhǔn)是一大問題研究報(bào)告的主要內(nèi)容信息系統(tǒng)平安風(fēng)險(xiǎn)評估的概念風(fēng)險(xiǎn)評估的意義和作用信息平安風(fēng)險(xiǎn)評估的目標(biāo)和目的信息平安風(fēng)險(xiǎn)評估的根本要素風(fēng)險(xiǎn)評估對信息系統(tǒng)生命周期的支持風(fēng)險(xiǎn)評估的一般工作流程當(dāng)前存在的風(fēng)險(xiǎn)評估理論和工具我國信息系統(tǒng)平安風(fēng)險(xiǎn)評估的現(xiàn)狀和問題信息平安風(fēng)險(xiǎn)評估工作的原那么等級保護(hù)、認(rèn)證認(rèn)可、風(fēng)險(xiǎn)管理、風(fēng)險(xiǎn)評估的關(guān)系自評估、強(qiáng)制性檢查評估與委托評估信息系統(tǒng)平安風(fēng)險(xiǎn)評估的角色和責(zé)任信息平安風(fēng)險(xiǎn)評估的任務(wù)和措施對風(fēng)險(xiǎn)評估工作的建議內(nèi)容積極貫徹落實(shí)27號文件建立健全和完善信息系統(tǒng)平安風(fēng)險(xiǎn)評估的工作機(jī)制統(tǒng)籌建設(shè)信息平安風(fēng)險(xiǎn)評估的根底設(shè)施和根底環(huán)境啟動評估工作流程、工作標(biāo)準(zhǔn)標(biāo)準(zhǔn)的研究與制定推進(jìn)根底信息網(wǎng)絡(luò)和重要信息系統(tǒng)的信息平安風(fēng)險(xiǎn)評估試點(diǎn)示范工作加強(qiáng)宣傳教育，提高風(fēng)險(xiǎn)意識標(biāo)準(zhǔn)制定工作根據(jù)?信息平安風(fēng)險(xiǎn)評估研究報(bào)告?的建議,2004年三月下旬課題組專家經(jīng)過充分的討論與分析，報(bào)國務(wù)院信息辦平安組批準(zhǔn),開展了?信息平安風(fēng)險(xiǎn)評估指南?和?信息平安風(fēng)險(xiǎn)管理指南?二個(gè)標(biāo)準(zhǔn)草案的制定。國家信息中心信息平安研究與效勞中心組織了近二十家有實(shí)際工作經(jīng)驗(yàn)的企事業(yè)單位約四十多人，開了二十屢次工作會議，進(jìn)行了信息平安風(fēng)險(xiǎn)評估標(biāo)準(zhǔn)標(biāo)準(zhǔn)草案的制定工作；到九月下旬,完成?信息平安風(fēng)險(xiǎn)評估指南?和?信息平安風(fēng)險(xiǎn)管理指南?二個(gè)標(biāo)準(zhǔn)草案的初稿。標(biāo)準(zhǔn)制定工作2004年全國信息平安標(biāo)準(zhǔn)化技術(shù)委員會將?信息平安風(fēng)險(xiǎn)評估指南?列入2005年度國家信息平安標(biāo)準(zhǔn)制定工作方案中,將?信息平安風(fēng)險(xiǎn)管理指南?列入國家信息平安標(biāo)準(zhǔn)研究工作規(guī)劃中。

目前?信息平安風(fēng)險(xiǎn)評估指南?已完成評審,報(bào)國家標(biāo)準(zhǔn)管理委員會公布國信辦已以國信【2006】9號文的形式發(fā)各部委和省市?信息平安風(fēng)險(xiǎn)評估指南?主要內(nèi)容規(guī)定了信息平安風(fēng)險(xiǎn)評估的工作流程、評估內(nèi)容、評估方法和風(fēng)險(xiǎn)判斷準(zhǔn)那么。介紹了風(fēng)險(xiǎn)評估的定義、風(fēng)險(xiǎn)評估的模型以及風(fēng)險(xiǎn)評估的實(shí)施過程詳細(xì)描述了對資產(chǎn)、威脅和脆弱性的識別方法描述了風(fēng)險(xiǎn)評估在信息系統(tǒng)生命周期中的作用描述了風(fēng)險(xiǎn)評估的不同形式在附件中介紹了信息平安風(fēng)險(xiǎn)評估的方法、工具和實(shí)施案例?信息平安風(fēng)險(xiǎn)評估指南?主要作用指導(dǎo)識別信息系統(tǒng)中存在的風(fēng)險(xiǎn)，為確立信息系統(tǒng)平安等級提供參考指導(dǎo)信息系統(tǒng)的平安管理為執(zhí)法部門監(jiān)督提供參考為工程審查部門在審批和驗(yàn)收信息系統(tǒng)時(shí)提供參考為信息系統(tǒng)業(yè)務(wù)發(fā)生變更時(shí)提供平安參考

?信息平安風(fēng)險(xiǎn)管理指南?主要內(nèi)容明確了風(fēng)險(xiǎn)管理的目的和意義：在平安措施的本錢與資產(chǎn)價(jià)值之間尋求平衡，保護(hù)信息系統(tǒng)定義了信息平安風(fēng)險(xiǎn)管理的內(nèi)容和過程風(fēng)險(xiǎn)評估風(fēng)險(xiǎn)減緩：根據(jù)評估結(jié)果，選擇適宜的方法控制風(fēng)險(xiǎn)風(fēng)險(xiǎn)決策：判斷剩余風(fēng)險(xiǎn)是否處在可接受的范圍內(nèi)全國風(fēng)險(xiǎn)評估試點(diǎn)工作2005年，國信辦平安組組織北京市、上海市、黑龍江省、云南省、人民銀行、國家稅務(wù)總局、國家電力總公司和國家信息中心八個(gè)部門的近20家單位開展風(fēng)險(xiǎn)評估試點(diǎn)工作國家信息中心負(fù)責(zé)試點(diǎn)工作的實(shí)施方案設(shè)計(jì)，標(biāo)準(zhǔn)培訓(xùn)，到各試點(diǎn)單位調(diào)研，匯總各地試點(diǎn)報(bào)告，參與政策文件草工作試點(diǎn)工作的目的在現(xiàn)有根底信息網(wǎng)絡(luò)和重要信息系統(tǒng)的管理體制下，探索如何推進(jìn)開展信息平安風(fēng)險(xiǎn)評估工作檢驗(yàn)國家標(biāo)準(zhǔn)草案?信息平安風(fēng)險(xiǎn)評估指南?和?信息平安風(fēng)險(xiǎn)管理指南?的可行性與可用性為全面推廣信息平安風(fēng)險(xiǎn)評估工作和出臺相關(guān)政策文件做前期準(zhǔn)備試點(diǎn)工作總結(jié)2005年9月，在上海召開總結(jié)大會。國務(wù)院信息辦曲維枝副主任到會聽取了各試點(diǎn)單位的工作匯報(bào),對試點(diǎn)工作的成果給予了高度評價(jià)政策文件起草在調(diào)研和試點(diǎn)的根底上，國信辦會同公安部、平安部、國家保密局、密碼管理局、總參三部等部門及有關(guān)專家起草了?關(guān)于開展信息平安風(fēng)險(xiǎn)評估工作的意見?征求意見稿，反復(fù)征求了國家網(wǎng)絡(luò)與信息平安協(xié)調(diào)小組成員單位、重要信息系統(tǒng)主管部門、國家信息化專家咨詢委員會以及各試點(diǎn)單位意見，數(shù)易其稿。政策文件起草2005年12月16日國家網(wǎng)絡(luò)與信息平安協(xié)調(diào)小組開會討論通過了?關(guān)于開展信息平安風(fēng)險(xiǎn)評估工作的意見?，2006年元月6日國務(wù)院信息化工作辦公室將?關(guān)于開展信息平安風(fēng)險(xiǎn)評估工作的意見?印發(fā)中央各部委和全國省市。

政策文件起草?關(guān)于開展信息平安風(fēng)險(xiǎn)評估工作的意見?的印發(fā)，標(biāo)志著我國信息平安領(lǐng)域一項(xiàng)根底性、全局性的新工作正式啟動。

四、信息平安風(fēng)險(xiǎn)評估今后三年的開展目標(biāo)：用三年左右的時(shí)間在我國根底信息網(wǎng)絡(luò)和重要信息系統(tǒng)普遍推行信息平安風(fēng)險(xiǎn)評估工作，全面提高我國信息平安的科學(xué)管理水平，提升網(wǎng)絡(luò)和信息系統(tǒng)平安保障能力，為保障和促進(jìn)我國信息化開展效勞。高度重視組織管理工作各信息化和信息平安主管部門要充分認(rèn)識風(fēng)險(xiǎn)評估工作對于提高信息平安管理水平的重要意義，切實(shí)加強(qiáng)對風(fēng)險(xiǎn)評估工作的管理，抓緊制定貫徹落實(shí)的方法，積極穩(wěn)妥地推進(jìn)。要從抓試點(diǎn)開始，逐步探索組織實(shí)施和管理的經(jīng)驗(yàn)，高度重視組織管理工作

信息系統(tǒng)擁有、運(yùn)營或使用單位和有關(guān)管理部門要按照“誰主管、誰負(fù)責(zé)，誰運(yùn)營、誰負(fù)責(zé)〞的原那么，在信息平安風(fēng)險(xiǎn)評估工作中切實(shí)負(fù)起組織領(lǐng)導(dǎo)的責(zé)任；將開展風(fēng)險(xiǎn)評估工作制度化，定期組織實(shí)施信息系統(tǒng)自評估，積極配合有關(guān)部門的檢查評估，并將開展風(fēng)險(xiǎn)評估的費(fèi)用列入系統(tǒng)運(yùn)行維護(hù)費(fèi)用；有關(guān)部門要將開展信息平安風(fēng)險(xiǎn)評估作為根底信息網(wǎng)絡(luò)和重要信息系統(tǒng)規(guī)劃、建設(shè)和等級保護(hù)監(jiān)管工作的重要內(nèi)容。風(fēng)險(xiǎn)評估工作應(yīng)當(dāng)貫穿信息系統(tǒng)全生命周期信息平安風(fēng)險(xiǎn)評估也是落實(shí)等級保護(hù)制度的重要手段，應(yīng)通過信息平安風(fēng)險(xiǎn)評估為信息系統(tǒng)確定平安等級提供依據(jù)，根據(jù)風(fēng)險(xiǎn)評估的結(jié)果檢驗(yàn)網(wǎng)絡(luò)與信息系統(tǒng)的防護(hù)水平是否符合等級保護(hù)的要求。

三個(gè)評估環(huán)節(jié)信息系統(tǒng)規(guī)劃設(shè)計(jì)階段：通過評估明確平安需求、平安目標(biāo)和平安保障措施，為工程審批提供依據(jù)信息