【正文】 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 高度重視組織管理工作 ? 各信息化和信息安全主管部門要充分認識風(fēng)險評估工作對于提高信息安全管理水平的重要意義，切實加強對風(fēng)險評估工作的管理，抓緊制定貫徹落實的辦法，積極穩(wěn)妥地推進。要從抓試點開始，逐步探索組織實施和管理的經(jīng)驗， SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 高度重視組織管理工作 ? 信息系統(tǒng)擁有、運營或使用單位和有關(guān)管理部門要按照“誰主管、誰負責(zé)，誰運營、誰負責(zé)”的原則，在信息安全風(fēng)險評估工作中切實負起組織領(lǐng)導(dǎo)的責(zé)任； ? 將開展風(fēng)險評估工作制度化，定期組織實施信息系統(tǒng)自評估，積極配合有關(guān)部門的檢查評估，并將開展風(fēng)險評估的費用列入系統(tǒng)運行維護費用； ? 有關(guān)部門要將開展信息安全風(fēng)險評估作為基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)規(guī)劃、建設(shè)和等級保護監(jiān)管工作的重要內(nèi)容。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 風(fēng)險評估工作應(yīng)當(dāng)貫穿信息系統(tǒng)全生命周期 ? 信息安全風(fēng)險評估也是落實等級保護制度的重要手段，應(yīng)通過信息安全風(fēng)險評估為信息系統(tǒng)確定安全等級提供依據(jù)，根據(jù)風(fēng)險評估的結(jié)果檢驗網(wǎng)絡(luò)與信息系統(tǒng)的防護水平是否符合等級保護的要求。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 三個評估環(huán)節(jié) ? 信息系統(tǒng)規(guī)劃設(shè)計階段： 通過評估明確安全需求、安全目標(biāo)和安全保障措施，為項目審批提供依據(jù) ? 信息系統(tǒng)驗收階段： 通過評估驗證已設(shè)計安裝的安全措施能否實現(xiàn)安全目標(biāo)，為項目驗收提供依據(jù) ? 信息系統(tǒng)運維階段： ? 通過定期進行的評估，檢驗安全措施的有效性及對安全環(huán)境變化的適應(yīng)性 ? 在信息系統(tǒng)使命或安全形勢發(fā)生重大發(fā)生變化時，要專門進行評估 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 二種評估形式 ? 自評估 是信息安全風(fēng)險評估的主要形式，是指信息系統(tǒng)擁有、運營或使用單位發(fā)起的對本單位信息系統(tǒng)進行的風(fēng)險評估。 ? 依托自身技術(shù)力量 ? 委托具有相應(yīng)資質(zhì)的第三方機構(gòu)提供技術(shù)支持 ? 檢查評估 指信息系統(tǒng)上級管理部門或信息安全職能部門組織的信息安全風(fēng)險評估。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 規(guī)避由于風(fēng)險評估工作而引入新的安全風(fēng)險 ? 1， 參與信息安全風(fēng)險評估工作的單位及其有關(guān)人員必須遵守國家有關(guān)信息安全的法律法規(guī)，并承擔(dān)相應(yīng)的責(zé)任和義務(wù)； ? 2，風(fēng)險評估工作的發(fā)起方必須采取相應(yīng)保密措施，并與參與評估的有關(guān)單位或人員簽訂具有法律約束力的保密協(xié)議； ? 3，對關(guān)系國計民生和社會穩(wěn)定的基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的信息安全風(fēng)險評估工作必須遵循國家的有關(guān)規(guī)定進行。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 加強基礎(chǔ)性工作 ? 加快制定和完善風(fēng)險評估技術(shù)標(biāo)準(zhǔn) ? 重視風(fēng)險評估的核心技術(shù)、方法和工具的研究與攻關(guān) ? 積極開展風(fēng)險評估的培訓(xùn)與交流 ? 抓緊研究制定信息安全服務(wù)資質(zhì)的管理辦法 ? 加強風(fēng)險意識的宣傳教育和人才培養(yǎng) SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 2023年工作任務(wù)： ? 擴大試點面，在各部委和各省市各選擇 1～ 2個單位開展本地風(fēng)險評估試點工作 , ? 試點主要內(nèi)容是 《 關(guān)于開展信息安全風(fēng)險評估工作的意見 》 中的要求 ? 有關(guān)標(biāo)準(zhǔn)要出臺 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ? 成立試點推進專家組，協(xié)助國信辦組織、協(xié)調(diào)、培訓(xùn)、技術(shù)咨詢、調(diào)研、評審。 ? 專家組秘書處設(shè)在國家信息中心網(wǎng)絡(luò)安全部，寧家駿為組長、吳亞非為副組長 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ? 組建‘中國信息安全風(fēng)險評估論壇’ ,目前正在籌建中 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC “中國信息安全風(fēng)險評估論壇”主頁 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 中國信息安全風(fēng)險評估論壇 ... SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 信息安全風(fēng)險評估培訓(xùn) ? 為了落實和推進國務(wù)院信息辦的工作要求，更好的開展培訓(xùn)工作，國家信息中心信息安全研究與服務(wù)中心組織了 《 信息安全風(fēng)險評估培訓(xùn)教材 》 的編寫工作。該培訓(xùn)教材從國家政策、技術(shù)標(biāo)準(zhǔn)、技術(shù)方法、產(chǎn)品工具以及實施案例幾個方面，詳細描述信息安全風(fēng)險評估工作的主要內(nèi)容。 ? 全書共四篇：信息安全風(fēng)險評估理念、技術(shù)和方法、產(chǎn)品與工具以及評估案例；全書約 24萬字。 ? 特點：深入淺出，實用為主；靠近實戰(zhàn)，邊學(xué)邊用。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 謝謝 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 演講完畢，謝謝觀看！