【正文】 行其功能，一般情況下系統(tǒng)要不斷修改，添加硬件和軟件，或改變機(jī)構(gòu)的運(yùn)行規(guī)則、策略或流程等。 ? 安全防護(hù)措施： 對(duì)付威脅，減少脆弱性，保護(hù)資產(chǎn)，限制意外事件的影響，檢測(cè)、響應(yīng)意外事件，促進(jìn)災(zāi)難恢復(fù)和打擊信息犯罪而實(shí)施的各種實(shí)踐、規(guī)程和機(jī)制的總稱。 ? 威脅： 一個(gè)單位的信息資產(chǎn)的安全可能受到的侵害。”這些發(fā)達(dá)國(guó)家近年來大力加強(qiáng)了以風(fēng)險(xiǎn)評(píng)估為核心的信息系統(tǒng)安全評(píng)估工作，并通過法規(guī)、標(biāo)準(zhǔn)手段加以保障，逐步以此形成了橫跨立法、行政、司法的完整的信息安全管理體系。 ? 從理論上講，不存在絕對(duì)的安全，實(shí)踐中也不可能做到絕對(duì)安全，風(fēng)險(xiǎn)總是客觀存在的。 ? 因此，要追求信息系統(tǒng)的安全，就不能脫離全面、完整的信息系統(tǒng)的安全評(píng)估，就必須運(yùn)用信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的思想和規(guī)范，對(duì)信息系統(tǒng)開展安全風(fēng)險(xiǎn)評(píng)估。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 信息安全風(fēng)險(xiǎn)評(píng)估 是指依據(jù)國(guó)家有關(guān)信息技術(shù)標(biāo)準(zhǔn)，對(duì)信息系統(tǒng)及由其處理、傳輸和存儲(chǔ)的信息的保密性、完整性和可用性等安全屬性進(jìn)行科學(xué)評(píng)價(jià)的過程 它要評(píng)估信息系統(tǒng)的脆弱性、信息系統(tǒng)面臨的威脅以及脆弱性被威脅源利用后所產(chǎn)生的實(shí)際負(fù)面影響，并根據(jù)安全事件發(fā)生的可能性和負(fù)面影響的程度來識(shí)別信息系統(tǒng)的安全風(fēng)險(xiǎn)。信息安全建設(shè)的最終目的是服務(wù)于信息化，但其直接目的是為了控制安全風(fēng)險(xiǎn) 。 ? 要從實(shí)際出發(fā)，堅(jiān)持分級(jí)防護(hù)、突出重點(diǎn)，就必須正確地評(píng)估風(fēng)險(xiǎn)，以便采取科學(xué)、客觀、經(jīng)濟(jì)和有效的措施。 ? 信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的目的是： 認(rèn)清信息安全環(huán)境、信息安全狀況；有助于達(dá)成共識(shí)，明確責(zé)任；采取或完善安全保障措施，使其更加經(jīng)濟(jì)有效，并使信息安全策略保持一致性和持續(xù)性。脆弱性也常常被稱為漏洞。 階段 2—— 設(shè)計(jì)開發(fā)或采購(gòu) 信息系統(tǒng)設(shè)計(jì)、購(gòu)買、開發(fā)或建造。這些活動(dòng)可能包括信息的移動(dòng)、備份、丟棄、破壞以及對(duì)硬件和軟件進(jìn)行的密級(jí)處理。 ? 風(fēng)險(xiǎn)評(píng)估的理論和工具也應(yīng)該針對(duì)這些基本的安全要求，提供檢測(cè)、判斷、分析。為了了解系統(tǒng)究竟面臨什么風(fēng)險(xiǎn)、有多大風(fēng)險(xiǎn)，以及應(yīng)該采取什么樣的措施去減少、化解或規(guī)避風(fēng)險(xiǎn)，人們經(jīng)常會(huì)提出這樣一些問題：什么地方、什么時(shí)間可能出問題？會(huì)出什么性質(zhì)的問題？出問題的可能性有多大？這些問題可能產(chǎn)生的后果是什么？應(yīng)該采取什么樣的措施加以避免和彌補(bǔ)？并總是試圖找出最合理的答案。這就是 27號(hào)文件強(qiáng)調(diào)管理與技術(shù)并重的根本原因。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 為什么要做信息安全風(fēng)險(xiǎn)評(píng)估 ? 第五，重視風(fēng)險(xiǎn)評(píng)估是信息化發(fā)達(dá)國(guó)家的重要經(jīng)驗(yàn)。 目前 《 信息安全風(fēng)險(xiǎn)評(píng)估指南 》 已完成評(píng)審 , 報(bào)國(guó)家標(biāo)準(zhǔn)管理委員會(huì)頒布 ? 國(guó)信辦已以國(guó)信 【 2023】 9號(hào)文的形式發(fā)各部委和省市 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 《 信息安全風(fēng)險(xiǎn)評(píng)估指南 》 主要內(nèi)容 ? 規(guī)定了信息安全風(fēng)險(xiǎn)評(píng)估的工作流程、評(píng)估內(nèi)容、評(píng)估方法和風(fēng)險(xiǎn)判斷準(zhǔn)則。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 風(fēng)險(xiǎn)評(píng)估工作應(yīng)當(dāng)貫穿信息系統(tǒng)全生命周期 ? 信息安全風(fēng)險(xiǎn)評(píng)估也是落實(shí)等級(jí)保護(hù)制度的重要手段，應(yīng)通過信息安全風(fēng)險(xiǎn)評(píng)估為信息系統(tǒng)確定安全等級(jí)提供依據(jù)，根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果檢驗(yàn)網(wǎng)絡(luò)與信息系統(tǒng)的防護(hù)水平是否符合等級(jí)保護(hù)的要求。 ? 特點(diǎn)：深入淺出，實(shí)用為主；靠近實(shí)戰(zhàn)，邊學(xué)邊用。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 加強(qiáng)基礎(chǔ)性工作 ? 加快制定和完善風(fēng)險(xiǎn)評(píng)估技術(shù)標(biāo)準(zhǔn) ? 重視風(fēng)險(xiǎn)評(píng)估的核心技術(shù)、方法和工具的研究與攻關(guān) ? 積極開展風(fēng)險(xiǎn)評(píng)估的培訓(xùn)與交流 ? 抓緊研究制定信息安全服務(wù)資質(zhì)的管理辦法 ? 加強(qiáng)風(fēng)險(xiǎn)意識(shí)的宣傳教育和人才培養(yǎng) SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023年工作任務(wù)： ? 擴(kuò)大試點(diǎn)面，在各部委和各省市各選擇 1～ 2個(gè)單位開展本地風(fēng)險(xiǎn)評(píng)估試點(diǎn)工作 , ? 試點(diǎn)主要內(nèi)容是 《 關(guān)于開展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見 》 中的要求 ? 有關(guān)標(biāo)準(zhǔn)要出臺(tái) SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ? 成立試點(diǎn)推進(jìn)專家組，協(xié)助國(guó)信辦組織、協(xié)調(diào)、培訓(xùn)、技術(shù)咨詢、調(diào)研、評(píng)審。 ? ? SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 政策文件起草 ? 《 關(guān)于開展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見 》 的印發(fā)，標(biāo)志著我國(guó)信息安全領(lǐng)域一項(xiàng)基礎(chǔ)性、全局性的新工作正式啟動(dòng) 。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 為什么要做信息安全風(fēng)險(xiǎn)評(píng)估 2023年 2月，美國(guó)總統(tǒng)信息技術(shù)顧問委員會(huì)（ PITAC）向美國(guó)總統(tǒng)提交了一份研究報(bào)告 《 網(wǎng)絡(luò)空間安全：迫在眉睫的危機(jī) 》 ，提出美國(guó)目前網(wǎng)絡(luò)空間安全所面臨的重大問題包括： IT基礎(chǔ)設(shè)施在恐怖和敵對(duì)攻擊面前非常脆弱 網(wǎng)絡(luò)漏洞和網(wǎng)絡(luò)攻擊增長(zhǎng)速度非常快（ 20％－ 40％） 無所不在的互聯(lián)意味著處處可能存在安全漏洞 軟件是主要漏洞的所在 無窮無盡的打補(bǔ)丁并不是好的解決辦法 需要新的基礎(chǔ)性安全模型和方法 聯(lián)邦政府在研發(fā)工作中的核心地位 網(wǎng)絡(luò)空間安全的非技術(shù)因素 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 為了應(yīng)對(duì)這些威脅，在 《 網(wǎng)絡(luò)空間安全：迫在眉睫的危機(jī) 》 報(bào)告中， PITAC提出了 10大優(yōu)先研究項(xiàng)目，其中信息安全風(fēng)險(xiǎn)評(píng)估位列其中。 ? 信息安全風(fēng)險(xiǎn)評(píng)估要求在認(rèn)清風(fēng)險(xiǎn)的基礎(chǔ)上，決定哪些風(fēng)險(xiǎn)是必須要避免的，哪些風(fēng)險(xiǎn)是可以容忍的。風(fēng)險(xiǎn)評(píng)估提供了這么一種方法，它是我們傳統(tǒng)經(jīng)驗(yàn)方法的總結(jié)和提升，是風(fēng)險(xiǎn)理論和技術(shù)的具體應(yīng)用。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 定性的方法包括： ? 初步的風(fēng)險(xiǎn)分析 （ Preliminary Risk Analysis） ? 危險(xiǎn)和可操作性研究 （ Hazard and Operability studies (HAZOP)） ? 失效模式及影響分析 （ Failure Mode and Effects Analysis (FMEA/FMECA)） SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 基于樹的技術(shù) （ Tree Based Techniques ）包括： ? 故障樹分析 （ Fault tree analysis） ? 事件樹分析 （ Event tree analysis） ? 因