风险管理与信息安全风险评估

风险管理与信息安全风险评估

ID:40038249

大小:242.50 KB

页数:44页

时间:2019-07-18

风险管理与信息安全风险评估_第1页
风险管理与信息安全风险评估_第2页
风险管理与信息安全风险评估_第3页
风险管理与信息安全风险评估_第4页
风险管理与信息安全风险评估_第5页
资源描述:

《风险管理与信息安全风险评估》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、风险管理与信息安全风险评估国家信息中心2005.12提纲一:信息化风险及风险管理研究二:信息安全风险评估贵在实践三、试点经验宝贵来自www.3722.cn中国最大的资料库下载一:信息化风险及风险管理研究随着信息化的发展,信息化的风险与风险管理问题已经成为各个国家、国际组织所普遍关注的问题。信息化的风险管理,其中信息安全风险和保障网络空间的安全已经成为关系信息化能否健康发展的重大问题。来自www.3722.cn中国最大的资料库下载一、信息化风险的定义风险指行动或者事件的结果的不确定性(uncertaintyofoutcome)。信息化的风险被界定为信息化可能或

2、者实际带来的消极威胁。风险管理泛指评估风险、确认风险、回应风险的过程。来自www.3722.cn中国最大的资料库下载二、信息化风险的主要特征全球性传染性复杂性隐蔽性来自www.3722.cn中国最大的资料库下载三、信息化风险的内在原因基本原因在于内因,由信息化自身的特点所决定第一,信息化的无疆界特征;第二,信息化的低成本特征;第三,信息化的开放性特征;第四,信息化的匿名性特征。来自www.3722.cn中国最大的资料库下载第一,自然灾害第二,误操作和安全生产事故;第三,病毒、蠕虫以及网络攻击;第四,由于信任体系不完善,借助信息化手段进行欺诈;第五,因内部因素

3、而造成的信息、数据的修改和丢失和内部泄密;;第六,因外部因素造成信息、数据的泄露、篡改和丢失;第七,安全防范措施不到位的高端技术。四、外部原因来自www.3722.cn中国最大的资料库下载五、我国信息安全风险的生成机理第一,战略能力不足,规划不明确。(1)缺乏项目的建设战略(2)缺乏项目的中长期发展规划(3)缺乏明确项目的发展步骤(4)缺乏项目的阶段性绩效标准来自www.3722.cn中国最大的资料库下载第二,领导与组织能力不到位,统筹协调不力。(1)领导对于风险管理的重视不足,忽视电子化政府项目的高风险等具体问题;(2)行政改革与创新的方向性错误;(3)组

4、织信息化目标的错误设定,片面追求上网,忽视服务质量;(4)跨部门之信息化进程的协调问题;(5)重复建设问题;(6)信息化项目未能及时完成,预算超支问题;(7)信息孤岛问题;(8)项目难以有效评估或评测的问题。来自www.3722.cn中国最大的资料库下载第三,投资管理的能力差,项目管理体系不成熟。(1)对项目投资管理的理念认识和关注不足;(2)项目的投资基础(投资负责机构、提出候选项目并予以筛选、对投资项目的选定与实施过程的监督、捕获投资信息等)建设不完善;(3)在项目的投资过程(包括相关筛选、控制和评估标准的确立,对实施后的复查等)机制不健全;(4)在投资

5、的过程管理中,存在薄弱环节,无法做到全流程的“无缝隙管理”;(5)在优化投资过程方面,往往无法实现项目投资的战略性成果。来自www.3722.cn中国最大的资料库下载第四,资金的预算和管理能力差。(1)对信息安全投资的风险未做预测,或预测不准;(2)资金支持不足;(3)无法寻求足够的社会资金来源;(4)信息安全投资的回报难以监控和评估。来自www.3722.cn中国最大的资料库下载第五,人力资源不足。(1)缺乏信息安全风险管理的人员和能力;(2)缺乏具备充足信息安全管理资格的人员;(3)培训跟不上项目的进程,培训效果差;(4)项目核心人员的流动问题。来自ww

6、w.3722.cn中国最大的资料库下载第六,法律与政策不足。我国目前的信息安全的法制工作发展较为缓慢;首先,缺乏对信息化的全面立法支持,缺乏保障政府信息化的基本法律,如政府信息公开法、政府信息资源管理法。其次,缺乏对信息安全风险的制度性规范,如信息风险手册等。再次,原有的一些法律已不能适应信息化时代的要求,如著作权法、专利法、刑法等。来自www.3722.cn中国最大的资料库下载第七,保护隐私,数据安全,技术管理方面的不足。在泄露隐私方面:(1)不当授权他人或机构滥用用户信息;(2)未遵循法律或法规制定相应的隐私和记录管理政策。在影响数据安全方面:(1)工作

7、人员对安全因素和措施缺乏足够认知;(2)难以解决相关安全问题;(3)病毒或黑客攻击导致系统瘫痪;(4)由于一个主要系统瘫痪导致其它系统的失灵。来自www.3722.cn中国最大的资料库下载六、信息安全风险的应对战略和政策(一)明确政府的角色,强化信息安全风险管理的责任(二)建立和发展信息安全风险管理的文化(三)做好国家信息安全的薄弱环节识别,减少信息化系统中的问题(四)通过有效的教育和培训提高和强化整个社会的信息安全风险管理和安全意识与能力(五)强化信息化相关的立法,建立有效的管制机制,以防止和化解信息安全风险来自www.3722.cn中国最大的资料库下载(

8、六)建立健全国家信息化的技术安全平台,通过安全技术的

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。