【正文】 ? 依托自身技術(shù)力量 ? 委托具有相應(yīng)資質(zhì)的第三方機(jī)構(gòu)提供技術(shù)支持 ? 檢查評(píng)估 指信息系統(tǒng)上級(jí)管理部門或信息安全職能部門組織的信息安全風(fēng)險(xiǎn)評(píng)估。歐洲等其他信息化發(fā)達(dá)國(guó)家也非常重視開展信息安全風(fēng)險(xiǎn)評(píng)估工作，將開展信息安全風(fēng)險(xiǎn)評(píng)估工作作為提高信息安全保障水平的重要手段。所有信息安全建設(shè)和管理都應(yīng)該基于信息安全風(fēng)險(xiǎn)評(píng)估，只有這樣，信息安全建設(shè)才能做到從實(shí)際出發(fā)，才能堅(jiān)持需求主導(dǎo)、突出重點(diǎn)，才能以最小的代價(jià)去最大程度地保障信息安全。并且要確保系統(tǒng)的更新?lián)Q代能以一個(gè)安全和系統(tǒng)化的方式完成。它由安全事件發(fā)生的可能性及其造成的影響這兩種指標(biāo)來衡量。 ? 發(fā)達(dá)國(guó)家越來越重視信息安全風(fēng)險(xiǎn)評(píng)估工作，提倡風(fēng)險(xiǎn)評(píng)估制度化。信息系統(tǒng)的價(jià)值及其存在的脆弱性，使信息系統(tǒng)在現(xiàn)實(shí)環(huán)境中，總要面臨各種人為與自然的威脅，存在安全風(fēng)險(xiǎn)也是必然的。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 風(fēng)險(xiǎn)評(píng)估的意義和作用 ? 信息安全建設(shè)的基本原則包括必須從實(shí)際出發(fā)，堅(jiān)持分級(jí)防護(hù)、突出重點(diǎn)。 ? 資產(chǎn)： 通過信息化建設(shè)積累起來的信息系統(tǒng)、信息、生產(chǎn)或服務(wù)能力、人員能力和贏得的信譽(yù)等。 ?風(fēng)險(xiǎn)評(píng)估可支持對(duì)系統(tǒng)實(shí)現(xiàn)效果的評(píng)價(jià)，考察其是否能滿足要求，并考察系統(tǒng)所運(yùn)行的環(huán)境是否是預(yù)期設(shè)計(jì)的。 ? 從實(shí)施手段區(qū)分，有基于樹的技術(shù)、動(dòng)態(tài)系統(tǒng)的技術(shù)等。風(fēng)險(xiǎn)評(píng)估并不追求零風(fēng)險(xiǎn)、不計(jì)成本的絕對(duì)安全，或者試圖完全消滅風(fēng)險(xiǎn)或避免風(fēng)險(xiǎn)。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 政策文件起草 ? 2023年 12月 16日國(guó)家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組開會(huì)討論通過了 《 關(guān)于開展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見 》 ， ? 2023年元月 6日國(guó)務(wù)院信息化工作辦公室將 《關(guān)于開展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見 》 印發(fā)中央各部委和全國(guó)省市 。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 謝謝 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 演講完畢，謝謝觀看！ 。 ? 介紹了風(fēng)險(xiǎn)評(píng)估的定義、風(fēng)險(xiǎn)評(píng)估的模型以及風(fēng)險(xiǎn)評(píng)估的實(shí)施過程 ? 詳細(xì)描述了對(duì)資產(chǎn)、威脅和脆弱性的識(shí)別方法 ? 描述了風(fēng)險(xiǎn)評(píng)估在信息系統(tǒng)生命周期中的作用 ? 描述了風(fēng)險(xiǎn)評(píng)估的不同形式 ? 在附件中介紹了信息安全風(fēng)險(xiǎn)評(píng)估的方法、工具和實(shí)施案例 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 《 信息安全風(fēng)險(xiǎn)評(píng)估指南 》 主要作用 ? 指導(dǎo)識(shí)別信息系統(tǒng)中存在的風(fēng)險(xiǎn)，為確立信息系統(tǒng)安全等級(jí)提供參考 ? 指導(dǎo)信息系統(tǒng)的安全管理 ? 為執(zhí)法部門監(jiān)督提供參考 ? 為項(xiàng)目審查部門在審批和驗(yàn)收信息系統(tǒng)時(shí)提供參考 ? 為信息系統(tǒng)業(yè)務(wù)發(fā)生變更時(shí)提供安全參考 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 《 信息安全風(fēng)險(xiǎn)管理指南 》 主要內(nèi)容 ? 明確了風(fēng)險(xiǎn)管理的目的和意義：在安全措施的成本與資產(chǎn)價(jià)值之間尋求平衡，保護(hù)信息系統(tǒng) ? 定義了信息安全風(fēng)險(xiǎn)管理的內(nèi)容和過程 ? 風(fēng)險(xiǎn)評(píng)估 ? 風(fēng)險(xiǎn)減緩：根據(jù)評(píng)估結(jié)果，選擇合適的方法控制風(fēng)險(xiǎn) ? 風(fēng)險(xiǎn)決策：判斷殘余風(fēng)險(xiǎn)是否處在可接受的范圍內(nèi) SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 全國(guó)風(fēng)險(xiǎn)評(píng)估試點(diǎn)工作 2023年，國(guó)信辦安全組組織北京市、上海市、黑龍江省、云南省、人民銀行、國(guó)家稅務(wù)總局、國(guó)家電力總公司和國(guó)家信息中心八個(gè)部門的近 20家單位開展風(fēng)險(xiǎn)評(píng)估試點(diǎn)工作 國(guó)家信息中心負(fù)責(zé)試點(diǎn)工作的實(shí)施方案設(shè)計(jì)，標(biāo)準(zhǔn)培訓(xùn)，到各試點(diǎn)單位調(diào)研，匯總各地試點(diǎn)報(bào)告，參與政策文件草工作 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 試點(diǎn)工作的目的 ? 在現(xiàn)有基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的管理體制下，探索如何推進(jìn)開展信息安全風(fēng)險(xiǎn)評(píng)估工作 ? 檢驗(yàn)國(guó)家標(biāo)準(zhǔn)草案 《 信息安全風(fēng)險(xiǎn)評(píng)估指南 》 和 《 信息安全風(fēng)險(xiǎn)管理指南 》 的可行性與可用性 ? 為全面推廣信息安全風(fēng)險(xiǎn)評(píng)估工作和出臺(tái)相關(guān)政策文件做前期準(zhǔn)備 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 試點(diǎn)工作總結(jié) ? 2023年 9月，在上海召開總結(jié)大會(huì)。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 為什么要做信息安全風(fēng)險(xiǎn)評(píng)估 ? 第四，風(fēng)險(xiǎn)評(píng)估實(shí)際上是在倡導(dǎo)一種適度安全。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ? 當(dāng)前，國(guó)際上提出了一些廣義傳統(tǒng)的風(fēng)險(xiǎn)評(píng)估的理論（并非特別針對(duì)信息系統(tǒng)安全）。 ?在本階段標(biāo)識(shí)的風(fēng)險(xiǎn)可以用來為信息系統(tǒng)的安全分析提供支持，這可能會(huì)影響到系統(tǒng)在開發(fā)過程中要對(duì)體系結(jié)構(gòu)和設(shè)計(jì)方案進(jìn)行權(quán)衡。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 信息安全風(fēng)險(xiǎn)評(píng)估的基本要素 ? 使命： 一個(gè)單位通過信息化實(shí)現(xiàn)的工作任務(wù)。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 風(fēng)險(xiǎn)評(píng)估的意義和作用 ? 只有在正確、全面地了解和理解安全風(fēng)險(xiǎn)后，才能決定如何處理安全風(fēng)險(xiǎn)，從而在信息安全的投資、信息安全措施的選擇、信息安全保障體系的建設(shè)等問題中做出合理的決策。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 信息安全風(fēng)險(xiǎn)評(píng)估 ? 因?yàn)槿魏涡畔⑾到y(tǒng)都會(huì)有安全風(fēng)險(xiǎn)，所以，人們追求的所謂安全的信息系統(tǒng)，實(shí)際是指信息系統(tǒng)在實(shí)施了風(fēng)險(xiǎn)評(píng)估并做出風(fēng)險(xiǎn)控制后，仍然存在的殘余風(fēng)險(xiǎn)可被接受的信息