【正文】 C INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 我國信息安全風(fēng)險(xiǎn)評(píng)估回顧 2023年 7月 《 國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見 》 （中辦發(fā)［ 2023］ 27號(hào)）中專門提出開展風(fēng)險(xiǎn)評(píng)估的要求 ： 對(duì)網(wǎng)絡(luò)與信息系統(tǒng)安全的潛在威脅、薄弱環(huán)節(jié)、防護(hù)措施等進(jìn)行分析評(píng)估，綜合考慮網(wǎng)絡(luò)與信息系統(tǒng)的重要性、涉密程度和面臨的風(fēng)險(xiǎn)等因素，進(jìn)行相應(yīng)等級(jí)的安全建設(shè)和管理 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 調(diào)查研究工作 ? 國信辦安全組為落實(shí)中辦發(fā) 2023[27]號(hào)文件的要求，于 2023年 7月決定委托國家信息中心組建“信息安全風(fēng)險(xiǎn)評(píng)估課題組”，對(duì)我國信息安全風(fēng)險(xiǎn)評(píng)估工作的現(xiàn)狀進(jìn)行調(diào)查，提出我國開展風(fēng)險(xiǎn)評(píng)估的對(duì)策和辦法 ? 成員單位：國家信息中心、公安部、安全部、信息產(chǎn)業(yè)部、國家認(rèn)監(jiān)委、國家標(biāo)準(zhǔn)化委、國家密碼管理局、國家保密局、國家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全中心、中國信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心、北京市信息辦、解放軍測(cè)評(píng)認(rèn)證中心 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 調(diào)查研究工作 ?課題組先后對(duì)四個(gè)地區(qū) (北京、廣州、深圳和上海 )，十幾個(gè)行業(yè)的 50多家單位進(jìn)行了調(diào)查 ?完成了 《 信息安全風(fēng)險(xiǎn)評(píng)估調(diào)查報(bào)告 》 、 《 信息安全風(fēng)險(xiǎn)評(píng)估研究報(bào)告 》 和 《 關(guān)于加強(qiáng)信息安全風(fēng)險(xiǎn)評(píng)估工作的建議 》 稿 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 調(diào)查報(bào)告反映的主要情況及問題 ? 被調(diào)查單位信息化程度各有不同 ? 對(duì)風(fēng)險(xiǎn)評(píng)估的重視程度與信息化程度成正比關(guān)系 ? 國內(nèi)現(xiàn)階段風(fēng)險(xiǎn)評(píng)估狀況 ? 風(fēng)險(xiǎn)評(píng)估已逐漸成為信息安全的一個(gè)新的點(diǎn) ? 發(fā)現(xiàn)的八個(gè)問題 ， 其中評(píng)估流程不規(guī)范是一大問題 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 研究報(bào)告的主要內(nèi)容 ? 信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的概念 ? 風(fēng)險(xiǎn)評(píng)估的意義和作用 ? 信息安全風(fēng)險(xiǎn)評(píng)估的目標(biāo)和目的 ? 信息安全風(fēng)險(xiǎn)評(píng)估的基本要素 ? 風(fēng)險(xiǎn)評(píng)估對(duì)信息系統(tǒng)生命周期的支持 ? 風(fēng)險(xiǎn)評(píng)估的一般工作流程 ? 當(dāng)前存在的風(fēng)險(xiǎn)評(píng)估理論和工具 ? 我國信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的現(xiàn)狀和問題 ? 信息安全風(fēng)險(xiǎn)評(píng)估工作的原則 ? 等級(jí)保護(hù)、認(rèn)證認(rèn)可、風(fēng)險(xiǎn)管理、風(fēng)險(xiǎn)評(píng)估的關(guān)系 ? 自評(píng)估 、 強(qiáng)制性檢查評(píng)估與委托評(píng)估 ? 信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的角色和責(zé)任 ? 信息安全風(fēng)險(xiǎn)評(píng)估的任務(wù)和措施 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 對(duì)風(fēng)險(xiǎn)評(píng)估工作的建議內(nèi)容 ? 積極貫徹落實(shí) 27號(hào)文件 ? 建立健全和完善信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的工作機(jī)制 ? 統(tǒng)籌建設(shè)信息安全風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)設(shè)施和基礎(chǔ)環(huán)境 ? 啟動(dòng)評(píng)估工作流程、工作規(guī)范標(biāo)準(zhǔn)的研究與制定 ? 推進(jìn)基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的信息安全風(fēng)險(xiǎn)評(píng)估試點(diǎn)示范工作 ? 加強(qiáng)宣傳教育，提高風(fēng)險(xiǎn)意識(shí) SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 標(biāo)準(zhǔn)制定工作 ? 根據(jù) 《 信息安全風(fēng)險(xiǎn)評(píng)估研究報(bào)告 》 的建議 , 2023年三月下旬課題組專家經(jīng)過充分的討論與分析，報(bào)國務(wù)院信息辦安全組批準(zhǔn) ,開展了 《 信息安全風(fēng)險(xiǎn)評(píng)估指南 》 和 《 信息安全風(fēng)險(xiǎn)管理指南 》 二個(gè)規(guī)范草案的制定。 ? 介紹了風(fēng)險(xiǎn)評(píng)估的定義、風(fēng)險(xiǎn)評(píng)估的模型以及風(fēng)險(xiǎn)評(píng)估的實(shí)施過程 ? 詳細(xì)描述了對(duì)資產(chǎn)、威脅和脆弱性的識(shí)別方法 ? 描述了風(fēng)險(xiǎn)評(píng)估在信息系統(tǒng)生命周期中的作用 ? 描述了風(fēng)險(xiǎn)評(píng)估的不同形式 ? 在附件中介紹了信息安全風(fēng)險(xiǎn)評(píng)估的方法、工具和實(shí)施案例 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 《 信息安全風(fēng)險(xiǎn)評(píng)估指南 》 主要作用 ? 指導(dǎo)識(shí)別信息系統(tǒng)中存在的風(fēng)險(xiǎn)，為確立信息系統(tǒng)安全等級(jí)提供參考 ? 指導(dǎo)信息系統(tǒng)的安全管理 ? 為執(zhí)法部門監(jiān)督提供參考 ? 為項(xiàng)目審查部門在審批和驗(yàn)收信息系統(tǒng)時(shí)提供參考 ? 為信息系統(tǒng)業(yè)務(wù)發(fā)生變更時(shí)提供安全參考 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 《 信息安全風(fēng)險(xiǎn)管理指南 》 主要內(nèi)容 ? 明確了風(fēng)險(xiǎn)管理的目的和意義：在安全措施的成本與資產(chǎn)價(jià)值之間尋求平衡，保護(hù)信息系統(tǒng) ? 定義了信息安全風(fēng)險(xiǎn)管理的內(nèi)容和過程 ? 風(fēng)險(xiǎn)評(píng)估 ? 風(fēng)險(xiǎn)減緩：根據(jù)評(píng)估結(jié)果，選擇合適的方法控制風(fēng)險(xiǎn) ? 風(fēng)險(xiǎn)決策：判斷殘余風(fēng)險(xiǎn)是否處在可接受的范圍內(nèi) SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 全國風(fēng)險(xiǎn)評(píng)估試點(diǎn)工作 2023年，國信辦安全組組織北京市、上海市、黑龍江省、云南省、人民銀行、國家稅務(wù)總局、國家電力總公司和國家信息中心八個(gè)部門的近 20家單位開展風(fēng)險(xiǎn)評(píng)估試點(diǎn)工作 國家信息中心負(fù)責(zé)試點(diǎn)工作的實(shí)施方案設(shè)計(jì)，標(biāo)準(zhǔn)培訓(xùn)，到各試點(diǎn)單位調(diào)研，匯總各地試點(diǎn)報(bào)告，參與政策文件草工作 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 試點(diǎn)工作的目的 ? 在現(xiàn)有基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的管理體制下，探索如何推進(jìn)開展信息安全風(fēng)險(xiǎn)評(píng)估工作 ? 檢驗(yàn)國家標(biāo)準(zhǔn)草案 《 信息安全風(fēng)險(xiǎn)評(píng)估指南 》 和 《 信息安全風(fēng)險(xiǎn)管理指南 》 的可行性與可用性 ? 為全面推廣信息安全風(fēng)險(xiǎn)評(píng)估工作和出臺(tái)相關(guān)政策文件做前期準(zhǔn)備 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 試點(diǎn)工作總結(jié) ? 2023年 9月，在上海召開總結(jié)大會(huì)。 ? SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 四、信息安全風(fēng)險(xiǎn)評(píng)估今后三年的發(fā)展 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 目標(biāo)： ? 用三年左右的時(shí)間在我國基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)普遍推行信息安全風(fēng)險(xiǎn)評(píng)估工作，全面提高我國信息安全的科學(xué)管理水平，提升網(wǎng)絡(luò)和信息系統(tǒng)安全保障能力，為保障和促進(jìn)我國信息化發(fā)展服務(wù)。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 三個(gè)評(píng)估環(huán)節(jié) ? 信息系統(tǒng)規(guī)劃設(shè)計(jì)階段： 通過評(píng)估明確安