【正文】 適當(dāng)?shù)膹U棄處置，且殘留信息也恰當(dāng)?shù)剡M(jìn)行了處理。并且要確保系統(tǒng)的更新?lián)Q代能以一個安全和系統(tǒng)化的方式完成。 ? 從風(fēng)險評估實施的時機(jī)劃分，可以分為面向待建系統(tǒng)的風(fēng)險評估和面向運行系統(tǒng)的風(fēng)險評估。 ? 對于待建系統(tǒng)，如果已經(jīng)有了設(shè)計方案或安全計劃，則可以從這些文檔中標(biāo)識出部分脆弱性，如果系統(tǒng)建設(shè)尚處在啟動或提議階段，則無從評估其脆弱性，上述工作流程可以簡化，省略對脆弱性的評估。 當(dāng)前存在的風(fēng)險評估理論和工具 ? 當(dāng)前，存在很多風(fēng)險評估的理論，這些方法遵循了基本的風(fēng)險評估流程，但在具體實施手段和風(fēng)險的計算方法方面各有不同。 ? 從計算方法區(qū)分，有定性的方法、定量的方法和半定量的方法。從實施手段區(qū)分，有基于樹的技術(shù)、動態(tài)系統(tǒng)的技術(shù)等。 ? 在風(fēng)險評估的某些具體階段（例如威脅評估或脆弱性評估中），也存在更多的理論和方法，如脆弱性分類方法、威脅列表等。 評估工具目前存在以下幾類： ? 掃描工具： 包括主機(jī)掃描、網(wǎng)絡(luò)掃描、數(shù)據(jù)庫掃描，用于分析系統(tǒng)的常見漏洞； ? 入侵檢測系統(tǒng)（ IDS）： 用于收集與統(tǒng)計威脅數(shù)據(jù)； ? 滲透性測試工具： 黑客工具，用于人工滲透，評估系統(tǒng)的深層次漏洞； ? 主機(jī)安全性審計工具： 用于分析主機(jī)系統(tǒng)配置的安全性； ? 安全管理評價系統(tǒng)： 用于安全訪談，評價安全管理措施； ? 風(fēng)險綜合分析系統(tǒng)： 在基礎(chǔ)數(shù)據(jù)基礎(chǔ)上，定量、綜合分析系統(tǒng)的風(fēng)險，并且提供分類統(tǒng)計、查詢、 TOP N查詢以及報表輸出功能； ? 評估支撐環(huán)境工具 : 評估指標(biāo)庫、知識庫、漏洞庫、算法庫、模型庫。 等級保護(hù)、認(rèn)證認(rèn)可、風(fēng)險管理、風(fēng)險評估的關(guān)系 ? 等級保護(hù)是計算機(jī)信息系統(tǒng)信息安全保障的重要制度和任務(wù)。 1994年 《 中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例 》 中正式提出了實施等級保護(hù)的要求。 2022年中辦發(fā)27號文件重申了這一重要任務(wù)。 ? 信息系統(tǒng)安全認(rèn)證認(rèn)可是發(fā)達(dá)國家普遍采取的信息系統(tǒng)安全評估與管理模式。 ? 由于信息系統(tǒng)不是產(chǎn)品，不具有流通性，對信息系統(tǒng)安全的認(rèn)證是指運用技術(shù)和管理檢查手段來測試、分析、評價信息安全保障是否到位。 ? 信息安全產(chǎn)品的認(rèn)證是信息系統(tǒng)安全認(rèn)證的前提和基礎(chǔ)，但不能代替對信息系統(tǒng)安全的認(rèn)證。 ? 信息系統(tǒng)安全認(rèn)可則是單位的管理層或上級主管機(jī)關(guān)依據(jù)安全認(rèn)證的結(jié)果，判斷信息系統(tǒng)中存在的殘余風(fēng)險是否可以接受，從而決定是否允許信息系統(tǒng)投入建設(shè)或運行的過程。 ? 風(fēng)險管理是安全管理的重要組成部分。它包括：風(fēng)險評估、風(fēng)險控制（實施成本效益分析，選擇安全防護(hù)措施來控制風(fēng)險）以及根據(jù)風(fēng)險評估結(jié)果對信息系統(tǒng)的運行中的相關(guān)事項（例如是否批準(zhǔn)系統(tǒng)投入運行、是否加大信息安全建設(shè)投資等）做出決策。 ? 風(fēng)險評估是認(rèn)證認(rèn)可和風(fēng)險管理的重要組成部分，沒有風(fēng)險評估，認(rèn)證認(rèn)可和風(fēng)險管理就會成為無源之水、無本之木，缺乏決策行動的依據(jù)與方向。但風(fēng)險管理屬于概念和方法學(xué)的范疇，而認(rèn)證認(rèn)可則屬于實踐的層次，認(rèn)證認(rèn)可本身便是一種風(fēng)險管理的實施措施。 自評估、強(qiáng)制性檢查評估與委托評估 ? 自評估 是信息系統(tǒng)擁有單位，依靠自身力量，對自有的信息系統(tǒng)進(jìn)行的風(fēng)險評估活動。信息系統(tǒng)的風(fēng)險，不僅僅來自信息系統(tǒng)技術(shù)平臺的共性，還來自于特定的應(yīng)用服務(wù)。 ? 由于具體單位的信息系統(tǒng)應(yīng)用服務(wù)各具特性，這些個性化的過程和要求往往是敏感的，而且是沒有長期接觸該單位所屬行業(yè)和部門的人難于在短期內(nèi)熟悉和掌握的。因此，自評估有利于保密；有利于發(fā)揮行業(yè)和部門內(nèi)的人員的業(yè)務(wù)特長；有利于降低風(fēng)險評估的費用；有利于提高本單位的風(fēng)險評估能力與信息安全知識。但是，如果沒有統(tǒng)一的規(guī)范和要求，在缺乏信息系統(tǒng)安全風(fēng)險評估專業(yè)人才的情況下，自評估的結(jié)果可能不深入，不規(guī)范，不到位。 ? 自評估中，也可能會存在來自于本單位或上級單位領(lǐng)導(dǎo)的不利干預(yù)，從而出現(xiàn)風(fēng)險評估結(jié)果不夠客觀或評估結(jié)果的置信度較低等問題。某些時候，即使自評估的結(jié)果比較客觀，但也可能不會被管理層所信任。這種情況下，如果的確有必要實施自評估，或自評估的結(jié)果對管理層的決策關(guān)系重大，則可以采取專家組論證的方式加以解決。 ? 強(qiáng)制性檢查評估 則由信息安全主管機(jī)關(guān)或業(yè)務(wù)主管機(jī)關(guān)發(fā)起，旨在依據(jù)已經(jīng)頒布的法規(guī)或標(biāo)準(zhǔn)，檢查被評估單位是否滿足了這些法規(guī)或標(biāo)準(zhǔn)。這種評估具有強(qiáng)制性，是一種純粹意義上的他評估，單位自身不能對該過程進(jìn)行干預(yù)。此外，強(qiáng)制性檢查評估必須以明確的法規(guī)或標(biāo)準(zhǔn)為基礎(chǔ)。這是通過行政手段加強(qiáng)信息安全的重要手段。 ? 委托評估 指信息系統(tǒng)使用單位委托具有風(fēng)險評估能力的專業(yè)評估機(jī)構(gòu)（國家建立的測評認(rèn)證機(jī)構(gòu)或安全企業(yè)）實施的評估活動。它既有自評估的特點（由單位自身發(fā)起，且本單位對風(fēng)險評估過程的影響可以很大），也有他評估的特點（由獨立與本單位的另外一方實施評估）。 ? 在委托評估中，接受委托的評估機(jī)構(gòu)一般擁有風(fēng)險評估的專業(yè)人才，風(fēng)險評估的經(jīng)驗比較豐富，對IT技術(shù)風(fēng)險的共性了解得比較深入，評估過程較為規(guī)范，評估結(jié)果的客觀性比較好，置信度比較高。 ? 但是，評估費用可能會較高，且可能會難以深入了解行業(yè)應(yīng)用服務(wù)中的安全風(fēng)險。需著重指出，由于風(fēng)險評估中必然會接觸到被評估單位的敏感情況，且評估結(jié)果本身也屬于敏感信息，因此委托評估中容易發(fā)生評估風(fēng)險。 ? 另外，評估方應(yīng)與系統(tǒng)承建者保持獨立，不能為同一實體，但在評估中可以向系統(tǒng)承建者進(jìn)行咨詢。 信息系統(tǒng)安全風(fēng)險評估的角色和責(zé)任 角色 責(zé)任 主管機(jī)關(guān) 提出、制定并批準(zhǔn)本部門的信息安全風(fēng)險管理策略 領(lǐng)導(dǎo)和組織本部門內(nèi)的信息系統(tǒng)安全評估工作 基于本部門內(nèi)信息系統(tǒng)的特征以及風(fēng)險評估的結(jié)果，判斷信息系統(tǒng)殘余風(fēng)險是否可接受，并確定是否批準(zhǔn)信息系統(tǒng)投入運行 檢查信息系統(tǒng)運行中產(chǎn)生的安全狀態(tài)報告 定期或不定期地開展新的信息安全風(fēng)險評估工作 信息系統(tǒng)擁有者 制定安全計劃，報主管機(jī)關(guān)審批 組織實施信息系統(tǒng)自評估工作 配合強(qiáng)制性檢查評估或委托評估工作，并提供必要的文檔等資源 向主管機(jī)關(guān)提出新一輪風(fēng)險評估的建議 改善信息安全防護(hù)措施，控制信息安全風(fēng)險 信息系統(tǒng)承建者 根據(jù)對信息系統(tǒng)建設(shè)方案的風(fēng)險評估結(jié)果，修正安全方案，使安全方案成本合理、積極有效，在方案中有效地控制風(fēng)險 規(guī)范建設(shè)，減少在建設(shè)階段引入的新風(fēng)險 確保安全組件產(chǎn)品得到了相關(guān)機(jī)構(gòu)的認(rèn)證 信息系統(tǒng)安全評估機(jī)構(gòu) 提供獨立的信息系統(tǒng)安全風(fēng)險評估 對信息系統(tǒng)中的安全防護(hù)措施進(jìn)行評估，以判斷（ 1）這些安全防護(hù)措施在特定運行環(huán)境中的有效性；（ 2）實現(xiàn)了這些措施后系統(tǒng)中存在的殘余風(fēng)險 提出調(diào)整建議，以減少或根除信息系統(tǒng)中的脆弱性，有效對抗安全威脅，控制風(fēng)險 保護(hù)風(fēng)險評估中獲得的敏感信息，防止被無關(guān)人員和單位獲得 信息系統(tǒng)的關(guān)聯(lián)機(jī)構(gòu) 遵守安全策略、法規(guī)、合同等涉及信息系統(tǒng)交互行為的安全要求，減少信息安全風(fēng)險 協(xié)助風(fēng)險評估機(jī)構(gòu)確定評估邊界 在風(fēng)險評估中提供必要的資源和資料 信息安全風(fēng)險評估的任務(wù)和措施 任務(wù) 1：建立健全和完善信息系統(tǒng)安全風(fēng)險評估的工作機(jī)制。 措施： ? 設(shè)立攻關(guān)課題，結(jié)合貫徹計算機(jī)信息系統(tǒng)安全等級保護(hù)要求，提出我國風(fēng)險評估的工作的規(guī)范化過程、任務(wù)和程序。 ? 明確所有者、管理者、運行者、建設(shè)者、使用者、共享信息和業(yè)務(wù)系統(tǒng)者和主管部門等各方職責(zé)。 ? 結(jié)合貫徹計算機(jī)信息系統(tǒng)安全等級保護(hù)要求，建立健全國家重點信息系統(tǒng)安全風(fēng)險評估監(jiān)管和督察體系及國家和行業(yè)信息系統(tǒng)安全風(fēng)險評估工作指導(dǎo)機(jī)構(gòu)。 ? 建立和完善國家或部門的信息系統(tǒng)安全風(fēng)險評估工作管理與協(xié)調(diào)機(jī)制，完善部門協(xié)調(diào)機(jī)制。促進(jìn)相關(guān)資源的管理與共享，提高信息系統(tǒng)安全風(fēng)險評估能力。 ? 建立和完善信息系統(tǒng)安全風(fēng)險評估工作的各項制度，實施信息系統(tǒng)安全風(fēng)險評估工作的備案報告和定期檢查制度。 任務(wù) 2：統(tǒng)籌建設(shè)信息安全風(fēng)險評估的基礎(chǔ)設(shè)施和基礎(chǔ)環(huán)境，滿足信息安全風(fēng)險評估的需求。 措施： ? 按照不同行業(yè)，培養(yǎng)多層次信息系統(tǒng)安全風(fēng)險評估專業(yè)隊伍。 ? 完善我國信息系統(tǒng)信息安全風(fēng)險評估服務(wù)的資質(zhì)認(rèn)證和行為規(guī)范，提高信息安全風(fēng)險評估服務(wù)水平。 ? 加強(qiáng)信息系統(tǒng)安全風(fēng)險評估核心技術(shù)研究與攻關(guān)，增強(qiáng)信息系統(tǒng)安全風(fēng)險評估核心競爭力。國家要組織攻關(guān)，力爭在近幾年內(nèi)在核心環(huán)節(jié)有較大的突破，為國家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的評估提供自主可控的工具、模型與實用技術(shù)。 ? 完善法律法規(guī)和標(biāo)準(zhǔn)體系建設(shè)，實現(xiàn)管理法制化和規(guī)范化。 ? 重視信息安全風(fēng)險評估有關(guān)信息的收集、分析和利用工作，增強(qiáng)我國信息系統(tǒng)安全風(fēng)險評估的預(yù)警和報知能力。 ? 建立國家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的風(fēng)險評估數(shù)據(jù)庫。 任務(wù) 3：對涉及國家電子政務(wù)、國防系統(tǒng)等重要信息系統(tǒng)開展風(fēng)險評估，掌握關(guān)鍵信息系統(tǒng)的安全狀況。 措施： ? 對涉及國家電子政務(wù)、國防系統(tǒng)等重要信息系統(tǒng)的風(fēng)險分析和分級保護(hù)策略進(jìn)行認(rèn)真研究，制定基本的安全策略和評估指南。 ? 開展相關(guān)系統(tǒng)風(fēng)險評估的試點工作，總結(jié)經(jīng)驗教訓(xùn)，逐步在面上推廣，確保國家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)功能和系統(tǒng)運行正常，安全措施有效，進(jìn)一步增強(qiáng)系統(tǒng)保障能力。 任務(wù) 4：推動社會關(guān)注，提高風(fēng)險意識。 措施： ? 通過意識、培訓(xùn)、教育提高社會公眾的信息安全風(fēng)險意識。 ? 通過信息安全企業(yè)對社會公眾的安全服務(wù)解決社會公眾在信息化中遇到的信息安全問題。 ? 開展信息化道德教育，引導(dǎo)青少年的志趣、行為。提倡愛國，報國，愛護(hù)信息化家園。表彰遵紀(jì)守法，打擊違規(guī)犯罪。 謝謝大家