【正文】 該培訓(xùn)教材從國(guó)家政策、技術(shù)標(biāo)準(zhǔn)、技術(shù)方法、產(chǎn)品工具以及實(shí)施案例幾個(gè)方面，詳細(xì)描述信息安全風(fēng)險(xiǎn)評(píng)估工作的主要內(nèi)容。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 高度重視組織管理工作 ? 各信息化和信息安全主管部門要充分認(rèn)識(shí)風(fēng)險(xiǎn)評(píng)估工作對(duì)于提高信息安全管理水平的重要意義，切實(shí)加強(qiáng)對(duì)風(fēng)險(xiǎn)評(píng)估工作的管理，抓緊制定貫徹落實(shí)的辦法，積極穩(wěn)妥地推進(jìn)。 ? 國(guó)家信息中心信息安全研究與服務(wù)中心組織了近二十家有實(shí)際工作經(jīng)驗(yàn)的企事業(yè)單位約四十多人，開(kāi)了二十多次工作會(huì)議，進(jìn)行了信息安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)規(guī)范草案的制定工作；到九月下旬 , 完成《 信息安全風(fēng)險(xiǎn)評(píng)估指南 》 和 《 信息安全風(fēng)險(xiǎn)管理指南 》 二個(gè)規(guī)范草案的初稿。 ? 這體現(xiàn)了信息安全的一個(gè)基本原則，就是堅(jiān)持從實(shí)際出發(fā)，堅(jiān)持有針對(duì)性地進(jìn)行信息安全建設(shè)和管理。在不知不覺(jué)中就已經(jīng)中了招，在不知不覺(jué)中就已經(jīng)遭受了重大損失。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ? 二、為什么要做信息安全風(fēng)險(xiǎn)評(píng)估 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 為什么要做信息安全風(fēng)險(xiǎn)評(píng)估 ? 第一，風(fēng)險(xiǎn)評(píng)估是分析確定風(fēng)險(xiǎn)的過(guò)程。 ? 上述工作流程應(yīng)該是一個(gè)不斷重復(fù)的循環(huán)過(guò)程， 從不同階段進(jìn)入風(fēng)險(xiǎn)評(píng)估工作也可能進(jìn)行簡(jiǎn)化其中的某些步驟 。 ?當(dāng)定期對(duì)系統(tǒng)進(jìn)行重新評(píng)估時(shí)，或者信息系統(tǒng)在其運(yùn)行性生產(chǎn)環(huán)境（例如新的系統(tǒng)接口）中做出重大變更時(shí)，要對(duì)其進(jìn)行風(fēng)險(xiǎn)評(píng)估活動(dòng)。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 風(fēng)險(xiǎn)評(píng)估對(duì)信息系統(tǒng)生命周期的支持 生命周期階段 階段特征 來(lái)自風(fēng)險(xiǎn)管理活動(dòng)的支持 階段 1—— 規(guī)劃和啟動(dòng) 提出信息系統(tǒng)的目的、需求、規(guī)模和安全要求。威脅由多種屬性來(lái)刻畫：威脅的主體（威脅源）、能力、資源、動(dòng)機(jī)、途徑、可能性和后果。 ? 在我國(guó)目前的國(guó)情下，為加強(qiáng)宏觀信息安全管理，促進(jìn)信息安全保障體系建設(shè)，就必須加強(qiáng)風(fēng)險(xiǎn)評(píng)估工作，并逐步使風(fēng)險(xiǎn)評(píng)估工作朝向制度化的方向發(fā)展。 ? 安全是風(fēng)險(xiǎn)與成本的綜合平衡。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 風(fēng)險(xiǎn)評(píng)估的意義和作用 ? 信息安全中的風(fēng)險(xiǎn)評(píng)估是傳統(tǒng)的風(fēng)險(xiǎn)理論和方法在信息系統(tǒng)中的運(yùn)用，是科學(xué)地分析和理解信息與信息系統(tǒng)在保密性、完整性、可用性等方面所面臨的風(fēng)險(xiǎn)，并在風(fēng)險(xiǎn)的減少、轉(zhuǎn)移和規(guī)避等風(fēng)險(xiǎn)控制方法之間做出決策的過(guò)程。SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 我國(guó)信息安全風(fēng)險(xiǎn)評(píng)估工作的現(xiàn)狀與發(fā)展 國(guó)家信息中心 信息安全研究與服務(wù)中心 吳亞非 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ? 一 、信息安全風(fēng)險(xiǎn)評(píng)估概述 ? 二、為什么要做信息安全風(fēng)險(xiǎn)評(píng)估 ? 三、我國(guó)信息安全風(fēng)險(xiǎn)評(píng)估回顧 ? 四、信息安全風(fēng)險(xiǎn)評(píng)估今后三年的發(fā)展 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 信息安全風(fēng)險(xiǎn)評(píng)估的概念 ? 信息系統(tǒng)的安全風(fēng)險(xiǎn) 信息系統(tǒng)的安全風(fēng)險(xiǎn)，是指由于系統(tǒng)存在的脆弱性，人為或自然的威脅導(dǎo)致安全事件發(fā)生的可能性及其造成的影響。 ? 風(fēng)險(xiǎn)評(píng)估將導(dǎo)出信息系統(tǒng)的安全需求，因此，所有信息安全建設(shè)都應(yīng)該以風(fēng)險(xiǎn)評(píng)估為起點(diǎn)。 ? 盲目追求安全和完全回避風(fēng)險(xiǎn)是不現(xiàn)實(shí)的，也不是分級(jí)防護(hù)原則所要求的。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 信息安全風(fēng)險(xiǎn)評(píng)估的目標(biāo)和目的 ? 信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的總體目標(biāo)是： 服務(wù)于國(guó)家信息化發(fā)展，促進(jìn)信息安全保障體系的建設(shè)，提高信息系統(tǒng)的安全保護(hù)能力。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 信息安全風(fēng)險(xiǎn)評(píng)估的基本要素 ? 脆弱性： 信息資產(chǎn)及其防護(hù)措施在安全方面的不足和弱點(diǎn)。 ?風(fēng)險(xiǎn)評(píng)估活動(dòng)可用于確定信息系統(tǒng)安全需求。 階段 5—— 廢棄 本階段涉及到對(duì)信息、硬件和軟件的廢棄。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 風(fēng)險(xiǎn)評(píng)估理論和工具 ? 通俗的講，信息系統(tǒng)安全追求的是入侵和破壞行為，面對(duì)信息系統(tǒng)和信息，進(jìn)不來(lái)，看不懂，拿不走，搞不亂。風(fēng)險(xiǎn)是客觀存在的，在日常生活和工作中隨處可見(jiàn)。 ? 信息安全要講加強(qiáng)領(lǐng)導(dǎo)，要講責(zé)任制，但如果沒(méi)有科學(xué)的方法和手段，即使領(lǐng)導(dǎo)現(xiàn)場(chǎng)坐鎮(zhèn)，即使人盯死守，也仍然可能發(fā)現(xiàn)不了問(wèn)題，也仍然可能出問(wèn)題。這也就是適度安全。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 標(biāo)準(zhǔn)制定工作 ? 2023年全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)將 《 信息安全風(fēng)險(xiǎn)評(píng)估指南 》 列入 2023年度國(guó)家信息安全標(biāo)準(zhǔn)制定工作計(jì)劃中 , 將 《 信息安全風(fēng)險(xiǎn)管理指南 》 列入國(guó)家信息安全標(biāo)準(zhǔn)研究工作規(guī)劃中。要從抓試點(diǎn)開(kāi)始，逐步探索組織實(shí)施和管理的經(jīng)驗(yàn)， SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 高度重視組織管理工作 ? 信息系統(tǒng)擁有、運(yùn)營(yíng)或使用單位和有關(guān)管理部門要按照“誰(shuí)主管、誰(shuí)負(fù)責(zé)，誰(shuí)運(yùn)營(yíng)、誰(shuí)負(fù)責(zé)”的原則，在信息安全風(fēng)險(xiǎn)評(píng)估工作中切實(shí)負(fù)起組織領(lǐng)導(dǎo)的責(zé)任； ? 將開(kāi)展風(fēng)險(xiǎn)評(píng)估工作制度化，定期組織實(shí)施信息系統(tǒng)自評(píng)估，積極配合有關(guān)部門的檢查評(píng)估，并將開(kāi)展風(fēng)險(xiǎn)評(píng)估的費(fèi)用列入系統(tǒng)運(yùn)行維護(hù)費(fèi)用； ? 有關(guān)部門要將開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估作為基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)規(guī)劃、建設(shè)和等級(jí)保護(hù)監(jiān)管工作的重要內(nèi)容。 ? 全書共四篇：信息安全風(fēng)險(xiǎn)評(píng)估理念、技術(shù)和方法、產(chǎn)品與工具以及評(píng)估案例；全書約 24萬(wàn)字。 ? 專家組秘書處設(shè)在國(guó)家信息中心網(wǎng)絡(luò)安全部，寧家駿為組長(zhǎng)、吳亞非為副組長(zhǎng) SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ? 組建‘中國(guó)信息安全風(fēng)險(xiǎn)評(píng)估論壇’ ,目前正在籌建中 SIC INFOSEC