【正文】 適當?shù)膹U棄處置，且殘留信息也恰當?shù)剡M行了處理。并且要確保系統(tǒng)的更新?lián)Q代能以一個安全和系統(tǒng)化的方式完成。 ? 從風險評估實施的時機劃分，可以分為面向待建系統(tǒng)的風險評估和面向運行系統(tǒng)的風險評估。 ? 對于待建系統(tǒng)，如果已經(jīng)有了設計方案或安全計劃，則可以從這些文檔中標識出部分脆弱性，如果系統(tǒng)建設尚處在啟動或提議階段，則無從評估其脆弱性，上述工作流程可以簡化，省略對脆弱性的評估。 當前存在的風險評估理論和工具 ? 當前，存在很多風險評估的理論，這些方法遵循了基本的風險評估流程，但在具體實施手段和風險的計算方法方面各有不同。 ? 從計算方法區(qū)分，有定性的方法、定量的方法和半定量的方法。從實施手段區(qū)分，有基于樹的技術、動態(tài)系統(tǒng)的技術等。 ? 在風險評估的某些具體階段（例如威脅評估或脆弱性評估中），也存在更多的理論和方法，如脆弱性分類方法、威脅列表等。 評估工具目前存在以下幾類： ? 掃描工具： 包括主機掃描、網(wǎng)絡掃描、數(shù)據(jù)庫掃描，用于分析系統(tǒng)的常見漏洞； ? 入侵檢測系統(tǒng)（ IDS）： 用于收集與統(tǒng)計威脅數(shù)據(jù)； ? 滲透性測試工具： 黑客工具，用于人工滲透，評估系統(tǒng)的深層次漏洞； ? 主機安全性審計工具： 用于分析主機系統(tǒng)配置的安全性； ? 安全管理評價系統(tǒng)： 用于安全訪談，評價安全管理措施； ? 風險綜合分析系統(tǒng)： 在基礎數(shù)據(jù)基礎上，定量、綜合分析系統(tǒng)的風險，并且提供分類統(tǒng)計、查詢、 TOP N查詢以及報表輸出功能； ? 評估支撐環(huán)境工具 : 評估指標庫、知識庫、漏洞庫、算法庫、模型庫。 等級保護、認證認可、風險管理、風險評估的關系 ? 等級保護是計算機信息系統(tǒng)信息安全保障的重要制度和任務。 1994年 《 中華人民共和國計算機信息系統(tǒng)安全保護條例 》 中正式提出了實施等級保護的要求。 2022年中辦發(fā)27號文件重申了這一重要任務。 ? 信息系統(tǒng)安全認證認可是發(fā)達國家普遍采取的信息系統(tǒng)安全評估與管理模式。 ? 由于信息系統(tǒng)不是產(chǎn)品，不具有流通性，對信息系統(tǒng)安全的認證是指運用技術和管理檢查手段來測試、分析、評價信息安全保障是否到位。 ? 信息安全產(chǎn)品的認證是信息系統(tǒng)安全認證的前提和基礎，但不能代替對信息系統(tǒng)安全的認證。 ? 信息系統(tǒng)安全認可則是單位的管理層或上級主管機關依據(jù)安全認證的結果，判斷信息系統(tǒng)中存在的殘余風險是否可以接受，從而決定是否允許信息系統(tǒng)投入建設或運行的過程。 ? 風險管理是安全管理的重要組成部分。它包括：風險評估、風險控制（實施成本效益分析，選擇安全防護措施來控制風險）以及根據(jù)風險評估結果對信息系統(tǒng)的運行中的相關事項（例如是否批準系統(tǒng)投入運行、是否加大信息安全建設投資等）做出決策。 ? 風險評估是認證認可和風險管理的重要組成部分，沒有風險評估，認證認可和風險管理就會成為無源之水、無本之木，缺乏決策行動的依據(jù)與方向。但風險管理屬于概念和方法學的范疇，而認證認可則屬于實踐的層次，認證認可本身便是一種風險管理的實施措施。 自評估、強制性檢查評估與委托評估 ? 自評估 是信息系統(tǒng)擁有單位，依靠自身力量，對自有的信息系統(tǒng)進行的風險評估活動。信息系統(tǒng)的風險，不僅僅來自信息系統(tǒng)技術平臺的共性，還來自于特定的應用服務。 ? 由于具體單位的信息系統(tǒng)應用服務各具特性，這些個性化的過程和要求往往是敏感的，而且是沒有長期接觸該單位所屬行業(yè)和部門的人難于在短期內(nèi)熟悉和掌握的。因此，自評估有利于保密；有利于發(fā)揮行業(yè)和部門內(nèi)的人員的業(yè)務特長；有利于降低風險評估的費用；有利于提高本單位的風險評估能力與信息安全知識。但是，如果沒有統(tǒng)一的規(guī)范和要求，在缺乏信息系統(tǒng)安全風險評估專業(yè)人才的情況下，自評估的結果可能不深入，不規(guī)范，不到位。 ? 自評估中，也可能會存在來自于本單位或上級單位領導的不利干預，從而出現(xiàn)風險評估結果不夠客觀或評估結果的置信度較低等問題。某些時候，即使自評估的結果比較客觀，但也可能不會被管理層所信任。這種情況下，如果的確有必要實施自評估，或自評估的結果對管理層的決策關系重大，則可以采取專家組論證的方式加以解決。 ? 強制性檢查評估 則由信息安全主管機關或業(yè)務主管機關發(fā)起，旨在依據(jù)已經(jīng)頒布的法規(guī)或標準，檢查被評估單位是否滿足了這些法規(guī)或標準。這種評估具有強制性，是一種純粹意義上的他評估，單位自身不能對該過程進行干預。此外，強制性檢查評估必須以明確的法規(guī)或標準為基礎。這是通過行政手段加強信息安全的重要手段。 ? 委托評估 指信息系統(tǒng)使用單位委托具有風險評估能力的專業(yè)評估機構（國家建立的測評認證機構或安全企業(yè)）實施的評估活動。它既有自評估的特點（由單位自身發(fā)起，且本單位對風險評估過程的影響可以很大），也有他評估的特點（由獨立與本單位的另外一方實施評估）。 ? 在委托評估中，接受委托的評估機構一般擁有風險評估的專業(yè)人才，風險評估的經(jīng)驗比較豐富，對IT技術風險的共性了解得比較深入，評估過程較為規(guī)范，評估結果的客觀性比較好，置信度比較高。 ? 但是，評估費用可能會較高，且可能會難以深入了解行業(yè)應用服務中的安全風險。需著重指出，由于風險評估中必然會接觸到被評估單位的敏感情況，且評估結果本身也屬于敏感信息，因此委托評估中容易發(fā)生評估風險。 ? 另外，評估方應與系統(tǒng)承建者保持獨立，不能為同一實體，但在評估中可以向系統(tǒng)承建者進行咨詢。 信息系統(tǒng)安全風險評估的角色和責任 角色 責任 主管機關 提出、制定并批準本部門的信息安全風險管理策略 領導和組織本部門內(nèi)的信息系統(tǒng)安全評估工作 基于本部門內(nèi)信息系統(tǒng)的特征以及風險評估的結果，判斷信息系統(tǒng)殘余風險是否可接受，并確定是否批準信息系統(tǒng)投入運行 檢查信息系統(tǒng)運行中產(chǎn)生的安全狀態(tài)報告 定期或不定期地開展新的信息安全風險評估工作 信息系統(tǒng)擁有者 制定安全計劃，報主管機關審批 組織實施信息系統(tǒng)自評估工作 配合強制性檢查評估或委托評估工作，并提供必要的文檔等資源 向主管機關提出新一輪風險評估的建議 改善信息安全防護措施，控制信息安全風險 信息系統(tǒng)承建者 根據(jù)對信息系統(tǒng)建設方案的風險評估結果，修正安全方案，使安全方案成本合理、積極有效，在方案中有效地控制風險 規(guī)范建設，減少在建設階段引入的新風險 確保安全組件產(chǎn)品得到了相關機構的認證 信息系統(tǒng)安全評估機構 提供獨立的信息系統(tǒng)安全風險評估 對信息系統(tǒng)中的安全防護措施進行評估，以判斷（ 1）這些安全防護措施在特定運行環(huán)境中的有效性；（ 2）實現(xiàn)了這些措施后系統(tǒng)中存在的殘余風險 提出調(diào)整建議，以減少或根除信息系統(tǒng)中的脆弱性，有效對抗安全威脅，控制風險 保護風險評估中獲得的敏感信息，防止被無關人員和單位獲得 信息系統(tǒng)的關聯(lián)機構 遵守安全策略、法規(guī)、合同等涉及信息系統(tǒng)交互行為的安全要求，減少信息安全風險 協(xié)助風險評估機構確定評估邊界 在風險評估中提供必要的資源和資料 信息安全風險評估的任務和措施 任務 1：建立健全和完善信息系統(tǒng)安全風險評估的工作機制。 措施： ? 設立攻關課題，結合貫徹計算機信息系統(tǒng)安全等級保護要求，提出我國風險評估的工作的規(guī)范化過程、任務和程序。 ? 明確所有者、管理者、運行者、建設者、使用者、共享信息和業(yè)務系統(tǒng)者和主管部門等各方職責。 ? 結合貫徹計算機信息系統(tǒng)安全等級保護要求，建立健全國家重點信息系統(tǒng)安全風險評估監(jiān)管和督察體系及國家和行業(yè)信息系統(tǒng)安全風險評估工作指導機構。 ? 建立和完善國家或部門的信息系統(tǒng)安全風險評估工作管理與協(xié)調(diào)機制，完善部門協(xié)調(diào)機制。促進相關資源的管理與共享，提高信息系統(tǒng)安全風險評估能力。 ? 建立和完善信息系統(tǒng)安全風險評估工作的各項制度，實施信息系統(tǒng)安全風險評估工作的備案報告和定期檢查制度。 任務 2：統(tǒng)籌建設信息安全風險評估的基礎設施和基礎環(huán)境，滿足信息安全風險評估的需求。 措施： ? 按照不同行業(yè)，培養(yǎng)多層次信息系統(tǒng)安全風險評估專業(yè)隊伍。 ? 完善我國信息系統(tǒng)信息安全風險評估服務的資質(zhì)認證和行為規(guī)范，提高信息安全風險評估服務水平。 ? 加強信息系統(tǒng)安全風險評估核心技術研究與攻關，增強信息系統(tǒng)安全風險評估核心競爭力。國家要組織攻關，力爭在近幾年內(nèi)在核心環(huán)節(jié)有較大的突破，為國家基礎信息網(wǎng)絡和重要信息系統(tǒng)的評估提供自主可控的工具、模型與實用技術。 ? 完善法律法規(guī)和標準體系建設，實現(xiàn)管理法制化和規(guī)范化。 ? 重視信息安全風險評估有關信息的收集、分析和利用工作，增強我國信息系統(tǒng)安全風險評估的預警和報知能力。 ? 建立國家基礎信息網(wǎng)絡和重要信息系統(tǒng)的風險評估數(shù)據(jù)庫。 任務 3：對涉及國家電子政務、國防系統(tǒng)等重要信息系統(tǒng)開展風險評估，掌握關鍵信息系統(tǒng)的安全狀況。 措施： ? 對涉及國家電子政務、國防系統(tǒng)等重要信息系統(tǒng)的風險分析和分級保護策略進行認真研究，制定基本的安全策略和評估指南。 ? 開展相關系統(tǒng)風險評估的試點工作，總結經(jīng)驗教訓，逐步在面上推廣，確保國家基礎信息網(wǎng)絡和重要信息系統(tǒng)功能和系統(tǒng)運行正常，安全措施有效，進一步增強系統(tǒng)保障能力。 任務 4：推動社會關注，提高風險意識。 措施： ? 通過意識、培訓、教育提高社會公眾的信息安全風險意識。 ? 通過信息安全企業(yè)對社會公眾的安全服務解決社會公眾在信息化中遇到的信息安全問題。 ? 開展信息化道德教育，引導青少年的志趣、行為。提倡愛國，報國，愛護信息化家園。表彰遵紀守法，打擊違規(guī)犯罪。 謝謝大家