返回
国家信息安全风险评估有关政策介绍

国家信息安全风险评估有关政策介绍

ID:42446930

大小:251.31 KB

页数:25页

时间:2019-09-15

国家信息安全风险评估有关政策介绍_第1页
国家信息安全风险评估有关政策介绍_第2页
国家信息安全风险评估有关政策介绍_第3页
国家信息安全风险评估有关政策介绍_第4页
国家信息安全风险评估有关政策介绍_第5页
资源描述:

《国家信息安全风险评估有关政策介绍》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、国家信息安全风险评估 有关政策介绍国信办网络与信息安全组熊四皓2006年8月7日开展信息安全风险评估工作的意义文件的主要内容下一步工作安排信息安全保障本质上是风险管理的工作,信息安全风险和事件不可能完全避免,关键在于如何控制、化解和规避风险。信息安全保障是高技术的对抗,有别于传统安全,呈现扩散速度快、难控制等特点,必须采取符合信息安全规律的科学方法和手段来保障信息安全。27号文件提出“要重视信息安全风险评估工作,对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估”风险评估是分析确定风险的过程信息安全风险评估是信息安全建设的起点和

2、基础信息安全风险评估是信息安全建设和管理的科学方法风险评估实际上是在倡导一种适度安全重视风险评估是信息化发达国家的重要经验开展信息安全风险评估工作的意义文件的主要内容下一步工作安排文件是集体智慧的结晶和实践经验的总结风险评估工作的内容与形式开展信息安全风险评估工作的基本要求加强信息安全风险评估的基础性工作文件是集体智慧的结晶和实践经验的总结风险评估工作的内容与形式信息安全风险评估分为自评估和检查评估两种形式。自评估是指网络和信息系统的拥有、运营、使用单位发起的对本单位信息系统进行的风险评估。自评估是信息安全风险评估的主要形式。检查评估是指信息

3、系统上级管理部门组织的或国家有关职能部门依法开展的信息安全风险评估。自评估和检查评估可以依靠自身技术力量进行,也可委托第三方专业机构提供技术支持。开展信息安全风险评估工作 的基本要求信息安全风险评估的实施要求信息安全风险评估的管理要求信息安全风险评估工作应当贯穿信息系统全生命周期。在信息系统规划设计阶段,通过信息安全风险评估工作,可以明确信息系统的安全需求及其安全目标,有针对性地制定和部署安全措施,从而避免产生欠保护或过保护的情况。在信息系统建设完成验收时,通过风险评估工作可以检验信息系统是否实现了所设计的安全功能,是否满足了信息系统的安全需

4、求并达到预期的安全目标。由于信息技术的发展、信息系统业务以及所处安全环境的变化,会不断出现新的信息安全风险,因此,在信息系统的运行阶段,应当定期进行信息安全风险评估,以检验安全措施的有效性以及对安全环境的适应性。当安全形势发生重大变化或信息系统使命有重大变更时,应及时进行信息安全风险评估。信息安全风险评估也是落实等级保护制度的重要手段,应通过信息安全风险评估为信息系统确定安全等级提供依据,根据风险评估的结果检验网络与信息系统的防护水平是否符合等级保护的要求。开展信息安全风险评估工作 的基本要求信息安全风险评估的实施要求信息安全风险评估的管理要

5、求信息安全风险评估工作敏感性强,涉及系统的关键资产和核心信息,一旦处理不当,反而可能引入新的风险,《意见》强调,必须高度重视信息安全风险评估的组织管理工作为规避由于风险评估工作而引入新的安全风险,《意见》提出以下要求:1)参与信息安全风险评估工作的单位及其有关人员必须遵守国家有关信息安全的法律法规,并承担相应的责任和义务。2)风险评估工作的发起方必须采取相应保密措施,并与参与评估的有关单位或人员签订具有法律约束力的保密协议。3)对关系国计民生和社会稳定的基础信息网络和重要信息系统的信息安全风险评估工作必须遵循国家的有关规定进行。加强信息安全风

6、险评估的基础性工作要加快制定和完善信息安全风险评估有关技术标准,尽快完善并颁布《信息安全风险评估指南》和《信息安全风险管理指南》等国家标准,各行业主管部门也可根据本行业特点制定相应的技术规范。要加强信息安全风险评估核心技术、方法和工具的研究与攻关。要从抓试点开始,逐步探索组织实施和管理的经验,用三年左右的时间在我国基础信息网络和重要信息系统普遍推行信息安全风险评估工作,全面提高我国信息安全的科学管理水平,提升网络和信息系统安全保障能力,为保障和促进我国信息化发展服务。开展信息安全风险评估工作的意义文件的主要内容下一步工作安排围绕着意见的贯彻落

7、实,国务院信息办今年将着重抓好以下三个方面的工作一是组织《意见》宣传贯彻,拟分批在北京和云南召开宣贯会,组织专家就《意见》的主要精神进行宣讲。同时,积极推动《信息安全风险评估指南》的颁布,在《指南》正式颁布前以国信办文件的形式将《指南》征求意见稿在内部印发,供大家参考。二是组织成立信息安全风险评估专家组。专家组的任务重点是抓好信息安全风险评估的技术培训、技术交流和教材的编写;同时,开展面上的调研和指导,为各部门和地方的信息安全风险评估工作提供技术咨询。三是抓好基础信息网络和关系国计民生的重要信息系统的信息安全风险评估工作。这项工作我们还将召开

8、会议作专门部署。推进信息安全风险评估工作必须仔细谋划,认真组织,稳步推进。我们不希望一哄而起,刚开始时步子可以小一点,一定要先通过试点探索并积累经验,然后再在面上推

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。