【正文】 適當(dāng)?shù)膹U棄處置，且殘留信息也恰當(dāng)?shù)剡M(jìn)行了處理。并且要確保系統(tǒng)的更新?lián)Q代能以一個(gè)安全和系統(tǒng)化的方式完成。 ? 從風(fēng)險(xiǎn)評(píng)估實(shí)施的時(shí)機(jī)劃分，可以分為面向待建系統(tǒng)的風(fēng)險(xiǎn)評(píng)估和面向運(yùn)行系統(tǒng)的風(fēng)險(xiǎn)評(píng)估。 ? 對(duì)于待建系統(tǒng)，如果已經(jīng)有了設(shè)計(jì)方案或安全計(jì)劃，則可以從這些文檔中標(biāo)識(shí)出部分脆弱性，如果系統(tǒng)建設(shè)尚處在啟動(dòng)或提議階段，則無從評(píng)估其脆弱性，上述工作流程可以簡(jiǎn)化，省略對(duì)脆弱性的評(píng)估。 當(dāng)前存在的風(fēng)險(xiǎn)評(píng)估理論和工具 ? 當(dāng)前，存在很多風(fēng)險(xiǎn)評(píng)估的理論，這些方法遵循了基本的風(fēng)險(xiǎn)評(píng)估流程，但在具體實(shí)施手段和風(fēng)險(xiǎn)的計(jì)算方法方面各有不同。 ? 從計(jì)算方法區(qū)分，有定性的方法、定量的方法和半定量的方法。從實(shí)施手段區(qū)分，有基于樹的技術(shù)、動(dòng)態(tài)系統(tǒng)的技術(shù)等。 ? 在風(fēng)險(xiǎn)評(píng)估的某些具體階段（例如威脅評(píng)估或脆弱性評(píng)估中），也存在更多的理論和方法，如脆弱性分類方法、威脅列表等。 評(píng)估工具目前存在以下幾類： ? 掃描工具： 包括主機(jī)掃描、網(wǎng)絡(luò)掃描、數(shù)據(jù)庫掃描，用于分析系統(tǒng)的常見漏洞； ? 入侵檢測(cè)系統(tǒng)（ IDS）： 用于收集與統(tǒng)計(jì)威脅數(shù)據(jù)； ? 滲透性測(cè)試工具： 黑客工具，用于人工滲透，評(píng)估系統(tǒng)的深層次漏洞； ? 主機(jī)安全性審計(jì)工具： 用于分析主機(jī)系統(tǒng)配置的安全性； ? 安全管理評(píng)價(jià)系統(tǒng)： 用于安全訪談，評(píng)價(jià)安全管理措施； ? 風(fēng)險(xiǎn)綜合分析系統(tǒng)： 在基礎(chǔ)數(shù)據(jù)基礎(chǔ)上，定量、綜合分析系統(tǒng)的風(fēng)險(xiǎn)，并且提供分類統(tǒng)計(jì)、查詢、 TOP N查詢以及報(bào)表輸出功能； ? 評(píng)估支撐環(huán)境工具 : 評(píng)估指標(biāo)庫、知識(shí)庫、漏洞庫、算法庫、模型庫。 等級(jí)保護(hù)、認(rèn)證認(rèn)可、風(fēng)險(xiǎn)管理、風(fēng)險(xiǎn)評(píng)估的關(guān)系 ? 等級(jí)保護(hù)是計(jì)算機(jī)信息系統(tǒng)信息安全保障的重要制度和任務(wù)。 1994年 《 中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例 》 中正式提出了實(shí)施等級(jí)保護(hù)的要求。 2022年中辦發(fā)27號(hào)文件重申了這一重要任務(wù)。 ? 信息系統(tǒng)安全認(rèn)證認(rèn)可是發(fā)達(dá)國家普遍采取的信息系統(tǒng)安全評(píng)估與管理模式。 ? 由于信息系統(tǒng)不是產(chǎn)品，不具有流通性，對(duì)信息系統(tǒng)安全的認(rèn)證是指運(yùn)用技術(shù)和管理檢查手段來測(cè)試、分析、評(píng)價(jià)信息安全保障是否到位。 ? 信息安全產(chǎn)品的認(rèn)證是信息系統(tǒng)安全認(rèn)證的前提和基礎(chǔ)，但不能代替對(duì)信息系統(tǒng)安全的認(rèn)證。 ? 信息系統(tǒng)安全認(rèn)可則是單位的管理層或上級(jí)主管機(jī)關(guān)依據(jù)安全認(rèn)證的結(jié)果，判斷信息系統(tǒng)中存在的殘余風(fēng)險(xiǎn)是否可以接受，從而決定是否允許信息系統(tǒng)投入建設(shè)或運(yùn)行的過程。 ? 風(fēng)險(xiǎn)管理是安全管理的重要組成部分。它包括：風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)控制（實(shí)施成本效益分析，選擇安全防護(hù)措施來控制風(fēng)險(xiǎn)）以及根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果對(duì)信息系統(tǒng)的運(yùn)行中的相關(guān)事項(xiàng)（例如是否批準(zhǔn)系統(tǒng)投入運(yùn)行、是否加大信息安全建設(shè)投資等）做出決策。 ? 風(fēng)險(xiǎn)評(píng)估是認(rèn)證認(rèn)可和風(fēng)險(xiǎn)管理的重要組成部分，沒有風(fēng)險(xiǎn)評(píng)估，認(rèn)證認(rèn)可和風(fēng)險(xiǎn)管理就會(huì)成為無源之水、無本之木，缺乏決策行動(dòng)的依據(jù)與方向。但風(fēng)險(xiǎn)管理屬于概念和方法學(xué)的范疇，而認(rèn)證認(rèn)可則屬于實(shí)踐的層次，認(rèn)證認(rèn)可本身便是一種風(fēng)險(xiǎn)管理的實(shí)施措施。 自評(píng)估、強(qiáng)制性檢查評(píng)估與委托評(píng)估 ? 自評(píng)估 是信息系統(tǒng)擁有單位，依靠自身力量，對(duì)自有的信息系統(tǒng)進(jìn)行的風(fēng)險(xiǎn)評(píng)估活動(dòng)。信息系統(tǒng)的風(fēng)險(xiǎn)，不僅僅來自信息系統(tǒng)技術(shù)平臺(tái)的共性，還來自于特定的應(yīng)用服務(wù)。 ? 由于具體單位的信息系統(tǒng)應(yīng)用服務(wù)各具特性，這些個(gè)性化的過程和要求往往是敏感的，而且是沒有長(zhǎng)期接觸該單位所屬行業(yè)和部門的人難于在短期內(nèi)熟悉和掌握的。因此，自評(píng)估有利于保密；有利于發(fā)揮行業(yè)和部門內(nèi)的人員的業(yè)務(wù)特長(zhǎng)；有利于降低風(fēng)險(xiǎn)評(píng)估的費(fèi)用；有利于提高本單位的風(fēng)險(xiǎn)評(píng)估能力與信息安全知識(shí)。但是，如果沒有統(tǒng)一的規(guī)范和要求，在缺乏信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估專業(yè)人才的情況下，自評(píng)估的結(jié)果可能不深入，不規(guī)范，不到位。 ? 自評(píng)估中，也可能會(huì)存在來自于本單位或上級(jí)單位領(lǐng)導(dǎo)的不利干預(yù)，從而出現(xiàn)風(fēng)險(xiǎn)評(píng)估結(jié)果不夠客觀或評(píng)估結(jié)果的置信度較低等問題。某些時(shí)候，即使自評(píng)估的結(jié)果比較客觀，但也可能不會(huì)被管理層所信任。這種情況下，如果的確有必要實(shí)施自評(píng)估，或自評(píng)估的結(jié)果對(duì)管理層的決策關(guān)系重大，則可以采取專家組論證的方式加以解決。 ? 強(qiáng)制性檢查評(píng)估 則由信息安全主管機(jī)關(guān)或業(yè)務(wù)主管機(jī)關(guān)發(fā)起，旨在依據(jù)已經(jīng)頒布的法規(guī)或標(biāo)準(zhǔn)，檢查被評(píng)估單位是否滿足了這些法規(guī)或標(biāo)準(zhǔn)。這種評(píng)估具有強(qiáng)制性，是一種純粹意義上的他評(píng)估，單位自身不能對(duì)該過程進(jìn)行干預(yù)。此外，強(qiáng)制性檢查評(píng)估必須以明確的法規(guī)或標(biāo)準(zhǔn)為基礎(chǔ)。這是通過行政手段加強(qiáng)信息安全的重要手段。 ? 委托評(píng)估 指信息系統(tǒng)使用單位委托具有風(fēng)險(xiǎn)評(píng)估能力的專業(yè)評(píng)估機(jī)構(gòu)（國家建立的測(cè)評(píng)認(rèn)證機(jī)構(gòu)或安全企業(yè)）實(shí)施的評(píng)估活動(dòng)。它既有自評(píng)估的特點(diǎn)（由單位自身發(fā)起，且本單位對(duì)風(fēng)險(xiǎn)評(píng)估過程的影響可以很大），也有他評(píng)估的特點(diǎn)（由獨(dú)立與本單位的另外一方實(shí)施評(píng)估）。 ? 在委托評(píng)估中，接受委托的評(píng)估機(jī)構(gòu)一般擁有風(fēng)險(xiǎn)評(píng)估的專業(yè)人才，風(fēng)險(xiǎn)評(píng)估的經(jīng)驗(yàn)比較豐富，對(duì)IT技術(shù)風(fēng)險(xiǎn)的共性了解得比較深入，評(píng)估過程較為規(guī)范，評(píng)估結(jié)果的客觀性比較好，置信度比較高。 ? 但是，評(píng)估費(fèi)用可能會(huì)較高，且可能會(huì)難以深入了解行業(yè)應(yīng)用服務(wù)中的安全風(fēng)險(xiǎn)。需著重指出，由于風(fēng)險(xiǎn)評(píng)估中必然會(huì)接觸到被評(píng)估單位的敏感情況，且評(píng)估結(jié)果本身也屬于敏感信息，因此委托評(píng)估中容易發(fā)生評(píng)估風(fēng)險(xiǎn)。 ? 另外，評(píng)估方應(yīng)與系統(tǒng)承建者保持獨(dú)立，不能為同一實(shí)體，但在評(píng)估中可以向系統(tǒng)承建者進(jìn)行咨詢。 信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的角色和責(zé)任 角色 責(zé)任 主管機(jī)關(guān) 提出、制定并批準(zhǔn)本部門的信息安全風(fēng)險(xiǎn)管理策略 領(lǐng)導(dǎo)和組織本部門內(nèi)的信息系統(tǒng)安全評(píng)估工作 基于本部門內(nèi)信息系統(tǒng)的特征以及風(fēng)險(xiǎn)評(píng)估的結(jié)果，判斷信息系統(tǒng)殘余風(fēng)險(xiǎn)是否可接受，并確定是否批準(zhǔn)信息系統(tǒng)投入運(yùn)行 檢查信息系統(tǒng)運(yùn)行中產(chǎn)生的安全狀態(tài)報(bào)告 定期或不定期地開展新的信息安全風(fēng)險(xiǎn)評(píng)估工作 信息系統(tǒng)擁有者 制定安全計(jì)劃，報(bào)主管機(jī)關(guān)審批 組織實(shí)施信息系統(tǒng)自評(píng)估工作 配合強(qiáng)制性檢查評(píng)估或委托評(píng)估工作，并提供必要的文檔等資源 向主管機(jī)關(guān)提出新一輪風(fēng)險(xiǎn)評(píng)估的建議 改善信息安全防護(hù)措施，控制信息安全風(fēng)險(xiǎn) 信息系統(tǒng)承建者 根據(jù)對(duì)信息系統(tǒng)建設(shè)方案的風(fēng)險(xiǎn)評(píng)估結(jié)果，修正安全方案，使安全方案成本合理、積極有效，在方案中有效地控制風(fēng)險(xiǎn) 規(guī)范建設(shè)，減少在建設(shè)階段引入的新風(fēng)險(xiǎn) 確保安全組件產(chǎn)品得到了相關(guān)機(jī)構(gòu)的認(rèn)證 信息系統(tǒng)安全評(píng)估機(jī)構(gòu) 提供獨(dú)立的信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估 對(duì)信息系統(tǒng)中的安全防護(hù)措施進(jìn)行評(píng)估，以判斷（ 1）這些安全防護(hù)措施在特定運(yùn)行環(huán)境中的有效性；（ 2）實(shí)現(xiàn)了這些措施后系統(tǒng)中存在的殘余風(fēng)險(xiǎn) 提出調(diào)整建議，以減少或根除信息系統(tǒng)中的脆弱性，有效對(duì)抗安全威脅，控制風(fēng)險(xiǎn) 保護(hù)風(fēng)險(xiǎn)評(píng)估中獲得的敏感信息，防止被無關(guān)人員和單位獲得 信息系統(tǒng)的關(guān)聯(lián)機(jī)構(gòu) 遵守安全策略、法規(guī)、合同等涉及信息系統(tǒng)交互行為的安全要求，減少信息安全風(fēng)險(xiǎn) 協(xié)助風(fēng)險(xiǎn)評(píng)估機(jī)構(gòu)確定評(píng)估邊界 在風(fēng)險(xiǎn)評(píng)估中提供必要的資源和資料 信息安全風(fēng)險(xiǎn)評(píng)估的任務(wù)和措施 任務(wù) 1：建立健全和完善信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的工作機(jī)制。 措施： ? 設(shè)立攻關(guān)課題，結(jié)合貫徹計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)要求，提出我國風(fēng)險(xiǎn)評(píng)估的工作的規(guī)范化過程、任務(wù)和程序。 ? 明確所有者、管理者、運(yùn)行者、建設(shè)者、使用者、共享信息和業(yè)務(wù)系統(tǒng)者和主管部門等各方職責(zé)。 ? 結(jié)合貫徹計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)要求，建立健全國家重點(diǎn)信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估監(jiān)管和督察體系及國家和行業(yè)信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估工作指導(dǎo)機(jī)構(gòu)。 ? 建立和完善國家或部門的信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估工作管理與協(xié)調(diào)機(jī)制，完善部門協(xié)調(diào)機(jī)制。促進(jìn)相關(guān)資源的管理與共享，提高信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估能力。 ? 建立和完善信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估工作的各項(xiàng)制度，實(shí)施信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估工作的備案報(bào)告和定期檢查制度。 任務(wù) 2：統(tǒng)籌建設(shè)信息安全風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)設(shè)施和基礎(chǔ)環(huán)境，滿足信息安全風(fēng)險(xiǎn)評(píng)估的需求。 措施： ? 按照不同行業(yè)，培養(yǎng)多層次信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估專業(yè)隊(duì)伍。 ? 完善我國信息系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)的資質(zhì)認(rèn)證和行為規(guī)范，提高信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)水平。 ? 加強(qiáng)信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估核心技術(shù)研究與攻關(guān)，增強(qiáng)信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估核心競(jìng)爭(zhēng)力。國家要組織攻關(guān)，力爭(zhēng)在近幾年內(nèi)在核心環(huán)節(jié)有較大的突破，為國家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的評(píng)估提供自主可控的工具、模型與實(shí)用技術(shù)。 ? 完善法律法規(guī)和標(biāo)準(zhǔn)體系建設(shè)，實(shí)現(xiàn)管理法制化和規(guī)范化。 ? 重視信息安全風(fēng)險(xiǎn)評(píng)估有關(guān)信息的收集、分析和利用工作，增強(qiáng)我國信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的預(yù)警和報(bào)知能力。 ? 建立國家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估數(shù)據(jù)庫。 任務(wù) 3：對(duì)涉及國家電子政務(wù)、國防系統(tǒng)等重要信息系統(tǒng)開展風(fēng)險(xiǎn)評(píng)估，掌握關(guān)鍵信息系統(tǒng)的安全狀況。 措施： ? 對(duì)涉及國家電子政務(wù)、國防系統(tǒng)等重要信息系統(tǒng)的風(fēng)險(xiǎn)分析和分級(jí)保護(hù)策略進(jìn)行認(rèn)真研究，制定基本的安全策略和評(píng)估指南。 ? 開展相關(guān)系統(tǒng)風(fēng)險(xiǎn)評(píng)估的試點(diǎn)工作，總結(jié)經(jīng)驗(yàn)教訓(xùn)，逐步在面上推廣，確保國家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)功能和系統(tǒng)運(yùn)行正常，安全措施有效，進(jìn)一步增強(qiáng)系統(tǒng)保障能力。 任務(wù) 4：推動(dòng)社會(huì)關(guān)注，提高風(fēng)險(xiǎn)意識(shí)。 措施： ? 通過意識(shí)、培訓(xùn)、教育提高社會(huì)公眾的信息安全風(fēng)險(xiǎn)意識(shí)。 ? 通過信息安全企業(yè)對(duì)社會(huì)公眾的安全服務(wù)解決社會(huì)公眾在信息化中遇到的信息安全問題。 ? 開展信息化道德教育，引導(dǎo)青少年的志趣、行為。提倡愛國，報(bào)國，愛護(hù)信息化家園。表彰遵紀(jì)守法，打擊違規(guī)犯罪。 謝謝大家