信息安全風險評估有據(jù)可依

申請免費試用、咨詢電話：400-8352-114

對于眾多的企業(yè)而言，信息安全風險評估一直是一項非常重要，但卻又難以掌控的工作。由于缺乏可以量化的標準以及具體明確的規(guī)定，風險評估越來越成為空谷回音，雖然聲勢響亮，但實際的應者寥寥。隨著網(wǎng)絡威脅的不斷加劇，這一尷尬現(xiàn)狀也亟待得到解決。

12月16日，由中國信息協(xié)會信息安全專業(yè)委員會舉辦的“中國信息安全風險評估現(xiàn)狀與展望高峰論壇”在京舉行。主辦方強調(diào)：這次論壇最重要的目的，就是向全社會展示我國信息安全風險評估工作目前的成績，以及對未來的估計和把握。

據(jù)了解，我國的信息安全風險評估工作自2003年啟動以來，歷經(jīng)了調(diào)研、標準編寫和試點工作三個階段。2003年7月，國信辦組織的課題組先后對四個地區(qū)（北京、廣州、深圳和上海）十幾個行業(yè)的50多家單位進行了深入細致的調(diào)查與研究，向國信辦提交了《信息安全風險評估調(diào)查報告》和《信息安全風險評估研究報告》，并作為傳閱文件提交到2004年1月9日在北京召開的全國信息安全保障工作會議上，供與會代表參閱。2004年，課題組組織有關(guān)單位編制了國家標準《信息安全風險評估指南》（草案）。

2005年年初，國信辦組織了北京市、上海市、黑龍江省、云南省、人民銀行、國家稅務總局、國家電力、國家電子政務外網(wǎng)8個試點單位，開展了基于標準的風險評估試點工作。2005年9月8日在上海召開的總結(jié)大會中，國信辦曲維枝副主任對試點工作給予了肯定，要求將試點工作的成果進行全面推廣，并對下一步工作提出要求。會議確定在總結(jié)好試點工作的基礎(chǔ)上，明年將在全國范圍推行信息安全風險評估工作，三年后要在國家基礎(chǔ)信息網(wǎng)絡和重要信息系統(tǒng)實現(xiàn)信息安全風險評估管理制度。

據(jù)了解，目前風險評估標準編制原則主要包括以下幾點：一是立足于我國當前信息化建設現(xiàn)狀，對我國信息安全風險評估方法進行總結(jié)、歸納、簡化與提升，注重吸納國外相關(guān)領(lǐng)域的先進成果并為我所用,使其本土化；二是可操作性和實用性。標準是對實際工作的總結(jié)與提升，但最終還要用于實踐，要經(jīng)得起實踐的檢驗。因此要可用，可操作; 三是注重吸收主管部門在評估方面已有的經(jīng)驗與成果。如等級保護、保密檢查和產(chǎn)品測評等; 四是科學性與前瞻性。評估標準中要體現(xiàn)科學性。所提供的方法要可信，要具有引領(lǐng)的作用。 (CCW)