信息安全風(fēng)險評估有據(jù)可依

申請免費試用、咨詢電話：400-8352-114

對于眾多的企業(yè)而言，信息安全風(fēng)險評估一直是一項非常重要，但卻又難以掌控的工作。由于缺乏可以量化的標(biāo)準(zhǔn)以及具體明確的規(guī)定，風(fēng)險評估越來越成為空谷回音，雖然聲勢響亮，但實際的應(yīng)者寥寥。隨著網(wǎng)絡(luò)威脅的不斷加劇，這一尷尬現(xiàn)狀也亟待得到解決。

12月16日，由中國信息協(xié)會信息安全專業(yè)委員會舉辦的“中國信息安全風(fēng)險評估現(xiàn)狀與展望高峰論壇”在京舉行。主辦方強(qiáng)調(diào)：這次論壇最重要的目的，就是向全社會展示我國信息安全風(fēng)險評估工作目前的成績，以及對未來的估計和把握。

據(jù)了解，我國的信息安全風(fēng)險評估工作自2003年啟動以來，歷經(jīng)了調(diào)研、標(biāo)準(zhǔn)編寫和試點工作三個階段。2003年7月，國信辦組織的課題組先后對四個地區(qū)（北京、廣州、深圳和上海）十幾個行業(yè)的50多家單位進(jìn)行了深入細(xì)致的調(diào)查與研究，向國信辦提交了《信息安全風(fēng)險評估調(diào)查報告》和《信息安全風(fēng)險評估研究報告》，并作為傳閱文件提交到2004年1月9日在北京召開的全國信息安全保障工作會議上，供與會代表參閱。2004年，課題組組織有關(guān)單位編制了國家標(biāo)準(zhǔn)《信息安全風(fēng)險評估指南》（草案）。

2005年年初，國信辦組織了北京市、上海市、黑龍江省、云南省、人民銀行、國家稅務(wù)總局、國家電力、國家電子政務(wù)外網(wǎng)8個試點單位，開展了基于標(biāo)準(zhǔn)的風(fēng)險評估試點工作。2005年9月8日在上海召開的總結(jié)大會中，國信辦曲維枝副主任對試點工作給予了肯定，要求將試點工作的成果進(jìn)行全面推廣，并對下一步工作提出要求。會議確定在總結(jié)好試點工作的基礎(chǔ)上，明年將在全國范圍推行信息安全風(fēng)險評估工作，三年后要在國家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)實現(xiàn)信息安全風(fēng)險評估管理制度。

據(jù)了解，目前風(fēng)險評估標(biāo)準(zhǔn)編制原則主要包括以下幾點：一是立足于我國當(dāng)前信息化建設(shè)現(xiàn)狀，對我國信息安全風(fēng)險評估方法進(jìn)行總結(jié)、歸納、簡化與提升，注重吸納國外相關(guān)領(lǐng)域的先進(jìn)成果并為我所用,使其本土化；二是可操作性和實用性。標(biāo)準(zhǔn)是對實際工作的總結(jié)與提升，但最終還要用于實踐，要經(jīng)得起實踐的檢驗。因此要可用，可操作; 三是注重吸收主管部門在評估方面已有的經(jīng)驗與成果。如等級保護(hù)、保密檢查和產(chǎn)品測評等; 四是科學(xué)性與前瞻性。評估標(biāo)準(zhǔn)中要體現(xiàn)科學(xué)性。所提供的方法要可信，要具有引領(lǐng)的作用。 (CCW)