【正文】 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 謝謝 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 演講完畢，謝謝觀看！ 。 ? 全書共四篇：信息安全風(fēng)險(xiǎn)評(píng)估理念、技術(shù)和方法、產(chǎn)品與工具以及評(píng)估案例；全書約 24萬字。 ? 專家組秘書處設(shè)在國(guó)家信息中心網(wǎng)絡(luò)安全部，寧家駿為組長(zhǎng)、吳亞非為副組長(zhǎng) SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ? 組建‘中國(guó)信息安全風(fēng)險(xiǎn)評(píng)估論壇’ ,目前正在籌建中 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC “中國(guó)信息安全風(fēng)險(xiǎn)評(píng)估論壇”主頁 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 中國(guó)信息安全風(fēng)險(xiǎn)評(píng)估論壇 ... SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 信息安全風(fēng)險(xiǎn)評(píng)估培訓(xùn) ? 為了落實(shí)和推進(jìn)國(guó)務(wù)院信息辦的工作要求，更好的開展培訓(xùn)工作，國(guó)家信息中心信息安全研究與服務(wù)中心組織了 《 信息安全風(fēng)險(xiǎn)評(píng)估培訓(xùn)教材 》 的編寫工作。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 規(guī)避由于風(fēng)險(xiǎn)評(píng)估工作而引入新的安全風(fēng)險(xiǎn) ? 1， 參與信息安全風(fēng)險(xiǎn)評(píng)估工作的單位及其有關(guān)人員必須遵守國(guó)家有關(guān)信息安全的法律法規(guī)，并承擔(dān)相應(yīng)的責(zé)任和義務(wù)； ? 2，風(fēng)險(xiǎn)評(píng)估工作的發(fā)起方必須采取相應(yīng)保密措施，并與參與評(píng)估的有關(guān)單位或人員簽訂具有法律約束力的保密協(xié)議； ? 3，對(duì)關(guān)系國(guó)計(jì)民生和社會(huì)穩(wěn)定的基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的信息安全風(fēng)險(xiǎn)評(píng)估工作必須遵循國(guó)家的有關(guān)規(guī)定進(jìn)行。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 三個(gè)評(píng)估環(huán)節(jié) ? 信息系統(tǒng)規(guī)劃設(shè)計(jì)階段： 通過評(píng)估明確安全需求、安全目標(biāo)和安全保障措施，為項(xiàng)目審批提供依據(jù) ? 信息系統(tǒng)驗(yàn)收階段： 通過評(píng)估驗(yàn)證已設(shè)計(jì)安裝的安全措施能否實(shí)現(xiàn)安全目標(biāo)，為項(xiàng)目驗(yàn)收提供依據(jù) ? 信息系統(tǒng)運(yùn)維階段： ? 通過定期進(jìn)行的評(píng)估，檢驗(yàn)安全措施的有效性及對(duì)安全環(huán)境變化的適應(yīng)性 ? 在信息系統(tǒng)使命或安全形勢(shì)發(fā)生重大發(fā)生變化時(shí)，要專門進(jìn)行評(píng)估 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 二種評(píng)估形式 ? 自評(píng)估 是信息安全風(fēng)險(xiǎn)評(píng)估的主要形式，是指信息系統(tǒng)擁有、運(yùn)營(yíng)或使用單位發(fā)起的對(duì)本單位信息系統(tǒng)進(jìn)行的風(fēng)險(xiǎn)評(píng)估。要從抓試點(diǎn)開始，逐步探索組織實(shí)施和管理的經(jīng)驗(yàn)， SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 高度重視組織管理工作 ? 信息系統(tǒng)擁有、運(yùn)營(yíng)或使用單位和有關(guān)管理部門要按照“誰主管、誰負(fù)責(zé)，誰運(yùn)營(yíng)、誰負(fù)責(zé)”的原則，在信息安全風(fēng)險(xiǎn)評(píng)估工作中切實(shí)負(fù)起組織領(lǐng)導(dǎo)的責(zé)任； ? 將開展風(fēng)險(xiǎn)評(píng)估工作制度化，定期組織實(shí)施信息系統(tǒng)自評(píng)估，積極配合有關(guān)部門的檢查評(píng)估，并將開展風(fēng)險(xiǎn)評(píng)估的費(fèi)用列入系統(tǒng)運(yùn)行維護(hù)費(fèi)用； ? 有關(guān)部門要將開展信息安全風(fēng)險(xiǎn)評(píng)估作為基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)規(guī)劃、建設(shè)和等級(jí)保護(hù)監(jiān)管工作的重要內(nèi)容。 ? SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 四、信息安全風(fēng)險(xiǎn)評(píng)估今后三年的發(fā)展 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 目標(biāo)： ? 用三年左右的時(shí)間在我國(guó)基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)普遍推行信息安全風(fēng)險(xiǎn)評(píng)估工作，全面提高我國(guó)信息安全的科學(xué)管理水平，提升網(wǎng)絡(luò)和信息系統(tǒng)安全保障能力，為保障和促進(jìn)我國(guó)信息化發(fā)展服務(wù)。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 政策文件起草 ? 2023年 12月 16日國(guó)家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組開會(huì)討論通過了 《 關(guān)于開展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見 》 ， ? 2023年元月 6日國(guó)務(wù)院信息化工作辦公室將 《關(guān)于開展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見 》 印發(fā)中央各部委和全國(guó)省市 。 ? 介紹了風(fēng)險(xiǎn)評(píng)估的定義、風(fēng)險(xiǎn)評(píng)估的模型以及風(fēng)險(xiǎn)評(píng)估的實(shí)施過程 ? 詳細(xì)描述了對(duì)資產(chǎn)、威脅和脆弱性的識(shí)別方法 ? 描述了風(fēng)險(xiǎn)評(píng)估在信息系統(tǒng)生命周期中的作用 ? 描述了風(fēng)險(xiǎn)評(píng)估的不同形式 ? 在附件中介紹了信息安全風(fēng)險(xiǎn)評(píng)估的方法、工具和實(shí)施案例 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 《 信息安全風(fēng)險(xiǎn)評(píng)估指南 》 主要作用 ? 指導(dǎo)識(shí)別信息系統(tǒng)中存在的風(fēng)險(xiǎn)，為確立信息系統(tǒng)安全等級(jí)提供參考 ? 指導(dǎo)信息系統(tǒng)的安全管理 ? 為執(zhí)法部門監(jiān)督提供參考 ? 為項(xiàng)目審查部門在審批和驗(yàn)收信息系統(tǒng)時(shí)提供參考 ? 為信息系統(tǒng)業(yè)務(wù)發(fā)生變更時(shí)提供安全參考 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 《 信息安全風(fēng)險(xiǎn)管理指南 》 主要內(nèi)容 ? 明確了風(fēng)險(xiǎn)管理的目的和意義：在安全措施的成本與資產(chǎn)價(jià)值之間尋求平衡，保護(hù)信息系統(tǒng) ? 定義了信息安全風(fēng)險(xiǎn)管理的內(nèi)容和過程 ? 風(fēng)險(xiǎn)評(píng)估 ? 風(fēng)險(xiǎn)減緩：根據(jù)評(píng)估結(jié)果，選擇合適