【正文】 的方法控制風險 ? 風險決策：判斷殘余風險是否處在可接受的范圍內 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 全國風險評估試點工作 2023年，國信辦安全組組織北京市、上海市、黑龍江省、云南省、人民銀行、國家稅務總局、國家電力總公司和國家信息中心八個部門的近 20家單位開展風險評估試點工作 國家信息中心負責試點工作的實施方案設計，標準培訓，到各試點單位調研，匯總各地試點報告，參與政策文件草工作 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 試點工作的目的 ? 在現(xiàn)有基礎信息網(wǎng)絡和重要信息系統(tǒng)的管理體制下，探索如何推進開展信息安全風險評估工作 ? 檢驗國家標準草案 《 信息安全風險評估指南 》 和 《 信息安全風險管理指南 》 的可行性與可用性 ? 為全面推廣信息安全風險評估工作和出臺相關政策文件做前期準備 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 試點工作總結 ? 2023年 9月，在上海召開總結大會。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 標準制定工作 ? 2023年全國信息安全標準化技術委員會將 《 信息安全風險評估指南 》 列入 2023年度國家信息安全標準制定工作計劃中 , 將 《 信息安全風險管理指南 》 列入國家信息安全標準研究工作規(guī)劃中。其主要研究內容包括： （ 1）開發(fā)網(wǎng)絡空間安全測試方法、評估標準 （ 2）風險分析方法和基于不同領域的評估方法（政治、軍事、經(jīng)濟等） （ 3）安全風險以及一致性檢查的自動評估工具的研發(fā) （ 4）對易受到攻擊對象的評估研究工作，如源代碼掃描工具 （ 5）通過研究過程管理、配置管理和補丁管理的最佳策略方案，來發(fā)現(xiàn)并提供有效的安全管理實施方案 為什么要做信息安全風險評估 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ? 三、我國信息安全風險評估回顧 ? ? 調查與研究 ? 標準編制與試點 ? 政策文件起草 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 我國信息安全風險評估回顧 2023年 7月 《 國家信息化領導小組關于加強信息安全保障工作的意見 》 （中辦發(fā)［ 2023］ 27號）中專門提出開展風險評估的要求 ： 對網(wǎng)絡與信息系統(tǒng)安全的潛在威脅、薄弱環(huán)節(jié)、防護措施等進行分析評估，綜合考慮網(wǎng)絡與信息系統(tǒng)的重要性、涉密程度和面臨的風險等因素，進行相應等級的安全建設和管理 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 調查研究工作 ? 國信辦安全組為落實中辦發(fā) 2023[27]號文件的要求，于 2023年 7月決定委托國家信息中心組建“信息安全風險評估課題組”，對我國信息安全風險評估工作的現(xiàn)狀進行調查，提出我國開展風險評估的對策和辦法 ? 成員單位：國家信息中心、公安部、安全部、信息產(chǎn)業(yè)部、國家認監(jiān)委、國家標準化委、國家密碼管理局、國家保密局、國家計算機網(wǎng)絡與信息安全中心、中國信息安全產(chǎn)品測評認證中心、北京市信息辦、解放軍測評認證中心 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 調查研究工作 ?課題組先后對四個地區(qū) (北京、廣州、深圳和上海 )，十幾個行業(yè)的 50多家單位進行了調查 ?完成了 《 信息安全風險評估調查報告 》 、 《 信息安全風險評估研究報告 》 和 《 關于加強信息安全風險評估工作的建議 》 稿 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 調查報告反映的主要情況及問題 ? 被調查單位信息化程度各有不同 ? 對風險評估的重視程度與信息化程度成正比關系 ? 國內現(xiàn)階段風險評估狀況 ? 風險評估已逐漸成為信息安全的一個新的點 ? 發(fā)現(xiàn)的八個問題 ， 其中評估流程不規(guī)范是一大問題 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 研究報告的主要內容 ? 信息系統(tǒng)安全風險評估的概念 ? 風險評估的意義和作用 ? 信息安全風險評估的目標和目的 ? 信息安全風險評估的基本要素 ? 風險評估對信息系統(tǒng)生命周期的支持 ? 風險評估的一般工作流程 ? 當前存在的風險評估理論和工具 ? 我國信息系統(tǒng)安全風險評估的現(xiàn)狀和問題 ? 信息安全風險評估工作的原則 ? 等級保護、認證認可、風險管理、風險評估的關系 ? 自評估 、 強制性檢查評估與委托評估 ? 信息系統(tǒng)安全風險評估的角色和責任 ? 信息安全風險評估的任務和措施 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 對風險評估工作的建議內容 ? 積極貫徹落實 27號文件 ? 建立健全和完善信息系統(tǒng)安全風險評估的工作機制 ? 統(tǒng)籌建設信息安全風險評估的基礎設施和基礎環(huán)境 ? 啟動評估工作流程、工作規(guī)范標準的研究與制定 ? 推進基礎信息網(wǎng)絡和重要信息系統(tǒng)的信息安全風險評估試點示范工作 ? 加強宣傳教育，提高風險意識 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 標準制定工作 ? 根據(jù) 《 信息安全風險評估研究報告 》 的建議 , 2023年三月下旬課題組專家經(jīng)過充分的討論與分析，報國務院信息辦安全組批準 ,開展了 《 信息安全風險評估指南 》 和 《 信息安全風險管理指南 》 二個規(guī)范草案的制定。發(fā)達國家的這些經(jīng)驗值得我們學習和借鑒。早在上個世紀 70年代初期美國政府就提出了風險評估的要求， 2023年頒布的 《 2023聯(lián)邦信息安全管理法 》 對信息安全風險評估提出了更加具體的要求。這也就是適度安全。也就是說，信息安全風險評估要求我們算賬，要求我們在風險與建設和管理成本之間尋求一個最佳平衡點。風險評估并不追求零風險、不計成本的絕對安全，或者試圖完全消滅風險或避免風險。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 為什么要做信息安全風險評估 ? 第四，風險評估實際上是在倡導一種適度安全。 ? 信息安全要講加強領導，要講責任制，但如果沒有科學的方法和手段，即使領導現(xiàn)場坐鎮(zhèn)，即使人盯死守，也仍然可能發(fā)現(xiàn)不了問題，也仍然可能出問題。 ? 信息安全的一個最大特點就是看不見摸不著