国家信息安全风险评估有关政策介绍课件

1、国家信息安全风险评估有关政策介绍国家信息安全风险评估有关政策介绍国信办网络与信息安全组 2006年8月7日国家信息安全风险评估有关政策介绍n开展信息安全风险评估工作的意义开展信息安全风险评估工作的意义n文件的主要内容文件的主要内容n下一步工作安排下一步工作安排国家信息安全风险评估有关政策介绍 信息安全保障本质上是风险管理的工作，信息信息安全保障本质上是风险管理的工作，信息安全风险和事件不可能完全避免，关键在于如安全风险和事件不可能完全避免，关键在于如何控制、化解和规避风险。信息安全保障是高何控制、化解和规避风险。信息安全保障是高技术的对抗，有别于传统安全，呈现扩散速度技术的对抗，有别于传统安全

2、，呈现扩散速度快、难控制等特点，必须采取符合信息安全规快、难控制等特点，必须采取符合信息安全规律的科学方法和手段来保障信息安全。律的科学方法和手段来保障信息安全。27号文号文件提出件提出“要重视信息安全风险评估工作，对网要重视信息安全风险评估工作，对网络与信息系统安全的潜在威胁、薄弱环节、防络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估护措施等进行分析评估 ”国家信息安全风险评估有关政策介绍n风险评估是分析确定风险的过程风险评估是分析确定风险的过程n信息安全风险评估是信息安全建设的起信息安全风险评估是信息安全建设的起点和基础点和基础 n信息安全风险评估是信息安全建设和管信息安全风

3、险评估是信息安全建设和管理的科学方法理的科学方法 n风险评估实际上是在倡导一种适度安全风险评估实际上是在倡导一种适度安全 n重视风险评估是信息化发达国家的重要重视风险评估是信息化发达国家的重要经验经验 国家信息安全风险评估有关政策介绍n开展信息安全风险评估工作的意义开展信息安全风险评估工作的意义n文件的主要内容文件的主要内容n下一步工作安排下一步工作安排国家信息安全风险评估有关政策介绍n文件是集体智慧的结晶和实践经验的总文件是集体智慧的结晶和实践经验的总结结 n风险评估工作的内容与形式风险评估工作的内容与形式 n开展信息安全风险评估工作的基本要求开展信息安全风险评估工作的基本要求n加强信息安全

4、风险评估的基础性工作加强信息安全风险评估的基础性工作 国家信息安全风险评估有关政策介绍文件是集体智慧的结晶和实践经验文件是集体智慧的结晶和实践经验的总结的总结国家信息安全风险评估有关政策介绍风险评估工作的内容与形式n信息安全风险评估分为自评估和检查评估两种信息安全风险评估分为自评估和检查评估两种形式。形式。n自评估是指网络和信息系统的拥有、运营、使自评估是指网络和信息系统的拥有、运营、使用单位发起的对本单位信息系统进行的风险评用单位发起的对本单位信息系统进行的风险评估。自评估是信息安全风险评估的主要形式。估。自评估是信息安全风险评估的主要形式。n检查评估是指信息系统上级管理部门组织的或检查评估

5、是指信息系统上级管理部门组织的或国家有关职能部门依法开展的信息安全风险评国家有关职能部门依法开展的信息安全风险评估。估。n自评估和检查评估可以依靠自身技术力量进行，自评估和检查评估可以依靠自身技术力量进行，也可委托第三方专业机构提供技术支持。也可委托第三方专业机构提供技术支持。 国家信息安全风险评估有关政策介绍开展信息安全风险评估工作开展信息安全风险评估工作的基本要求的基本要求n信息安全风险评估的实施要求信息安全风险评估的实施要求n信息安全风险评估的管理要求信息安全风险评估的管理要求国家信息安全风险评估有关政策介绍 n信息安全风险评估工作应当贯穿信息系信息安全风险评估工作应当贯穿信息系统全生命

6、周期。在信息系统规划设计阶统全生命周期。在信息系统规划设计阶段，通过信息安全风险评估工作，可以段，通过信息安全风险评估工作，可以明确信息系统的安全需求及其安全目标，明确信息系统的安全需求及其安全目标，有针对性地制定和部署安全措施，从而有针对性地制定和部署安全措施，从而避免产生欠保护或过保护的情况。避免产生欠保护或过保护的情况。 国家信息安全风险评估有关政策介绍n在信息系统建设完成验收时，通过风险在信息系统建设完成验收时，通过风险评估工作可以检验信息系统是否实现了评估工作可以检验信息系统是否实现了所设计的安全功能，是否满足了信息系所设计的安全功能，是否满足了信息系统的安全需求并达到预期的安全目标

7、。统的安全需求并达到预期的安全目标。 国家信息安全风险评估有关政策介绍 n由于信息技术的发展、信息系统业务以由于信息技术的发展、信息系统业务以及所处安全环境的变化，会不断出现新及所处安全环境的变化，会不断出现新的信息安全风险，因此，在信息系统的的信息安全风险，因此，在信息系统的运行阶段，应当定期进行信息安全风险运行阶段，应当定期进行信息安全风险评估，以检验安全措施的有效性以及对评估，以检验安全措施的有效性以及对安全环境的适应性。当安全形势发生重安全环境的适应性。当安全形势发生重大变化或信息系统使命有重大变更时，大变化或信息系统使命有重大变更时，应及时进行信息安全风险评估。应及时进行信息安全风险

8、评估。 国家信息安全风险评估有关政策介绍 n信息安全风险评估也是落实等级保护制信息安全风险评估也是落实等级保护制度的重要手段，应通过信息安全风险评度的重要手段，应通过信息安全风险评估为信息系统确定安全等级提供依据，估为信息系统确定安全等级提供依据，根据风险评估的结果检验网络与信息系根据风险评估的结果检验网络与信息系统的防护水平是否符合等级保护的要求。统的防护水平是否符合等级保护的要求。国家信息安全风险评估有关政策介绍开展信息安全风险评估工作开展信息安全风险评估工作的基本要求的基本要求n信息安全风险评估的实施要求信息安全风险评估的实施要求n信息安全风险评估的管理要求信息安全风险评估的管理要求国家

9、信息安全风险评估有关政策介绍n信息安全风险评估工作敏感性强，涉及信息安全风险评估工作敏感性强，涉及系统的关键资产和核心信息，一旦处理系统的关键资产和核心信息，一旦处理不当，反而可能引入新的风险，不当，反而可能引入新的风险，意见意见强调，必须高度重视信息安全风险评估强调，必须高度重视信息安全风险评估的组织管理工作的组织管理工作 国家信息安全风险评估有关政策介绍n为规避由于风险评估工作而引入新的安全风险，为规避由于风险评估工作而引入新的安全风险，意见意见提出以下要求：提出以下要求：1）参与信息安全风）参与信息安全风险评估工作的单位及其有关人员必须遵守国家险评估工作的单位及其有关人员必须遵守国家有关

10、信息安全的法律法规，并承担相应的责任有关信息安全的法律法规，并承担相应的责任和义务。和义务。2）风险评估工作的发起方必须采取）风险评估工作的发起方必须采取相应保密措施，并与参与评估的有关单位或人相应保密措施，并与参与评估的有关单位或人员签订具有法律约束力的保密协议。员签订具有法律约束力的保密协议。3）对关）对关系国计民生和社会稳定的基础信息网络和重要系国计民生和社会稳定的基础信息网络和重要信息系统的信息安全风险评估工作必须遵循国信息系统的信息安全风险评估工作必须遵循国家的有关规定进行。家的有关规定进行。 国家信息安全风险评估有关政策介绍加强信息安全风险评估的基础加强信息安全风险评估的基础性工作

11、性工作n要加快制定和完善信息安全风险评估有要加快制定和完善信息安全风险评估有关技术标准，尽快完善并颁布关技术标准，尽快完善并颁布信息安信息安全风险评估指南全风险评估指南和和信息安全风险管信息安全风险管理指南理指南等国家标准，各行业主管部门等国家标准，各行业主管部门也可根据本行业特点制定相应的技术规也可根据本行业特点制定相应的技术规范。范。 国家信息安全风险评估有关政策介绍n要加强信息安全风险评估核心技术、方法和工要加强信息安全风险评估核心技术、方法和工具的研究与攻关。具的研究与攻关。 n要从抓试点开始，逐步探索组织实施和管理的要从抓试点开始，逐步探索组织实施和管理的经验，用三年左右的时间在我国

12、基础信息网络经验，用三年左右的时间在我国基础信息网络和重要信息系统普遍推行信息安全风险评估工和重要信息系统普遍推行信息安全风险评估工作，全面提高我国信息安全的科学管理水平，作，全面提高我国信息安全的科学管理水平，提升网络和信息系统安全保障能力，为保障和提升网络和信息系统安全保障能力，为保障和促进我国信息化发展服务。促进我国信息化发展服务。 国家信息安全风险评估有关政策介绍n开展信息安全风险评估工作的意义开展信息安全风险评估工作的意义n文件的主要内容文件的主要内容n下一步工作安排下一步工作安排国家信息安全风险评估有关政策介绍n围绕着意见的贯彻落实，国务院信息办围绕着意见的贯彻落实，国务院信息办今

13、年将着重抓好以下三个方面的工作今年将着重抓好以下三个方面的工作 国家信息安全风险评估有关政策介绍n一是组织一是组织意见意见宣传贯彻，拟分批在宣传贯彻，拟分批在北京和云南召开宣贯会，组织专家就北京和云南召开宣贯会，组织专家就意见意见的主要精神进行宣讲。同时，的主要精神进行宣讲。同时，积极推动积极推动信息安全风险评估指南信息安全风险评估指南的的颁布，在颁布，在指南指南正式颁布前以国信办正式颁布前以国信办文件的形式将文件的形式将指南指南征求意见稿在内征求意见稿在内部印发，供大家参考。部印发，供大家参考。国家信息安全风险评估有关政策介绍n二是组织成立信息安全风险评估专家组。二是组织成立信息安全风险评估

14、专家组。专家组的任务重点是抓好信息安全风险专家组的任务重点是抓好信息安全风险评估的技术培训、技术交流和教材的编评估的技术培训、技术交流和教材的编写；同时，开展面上的调研和指导，为写；同时，开展面上的调研和指导，为各部门和地方的信息安全风险评估工作各部门和地方的信息安全风险评估工作提供技术咨询。提供技术咨询。 国家信息安全风险评估有关政策介绍n三是抓好基础信息网络和关系国计民生三是抓好基础信息网络和关系国计民生的重要信息系统的信息安全风险评估工的重要信息系统的信息安全风险评估工作。这项工作我们还将召开会议作专门作。这项工作我们还将召开会议作专门部署。部署。 国家信息安全风险评估有关政策介绍n推进