信息安全風(fēng)險(xiǎn)評(píng)估有據(jù)可依

申請免費(fèi)試用、咨詢電話：400-8352-114

對于眾多的企業(yè)而言，信息安全風(fēng)險(xiǎn)評(píng)估一直是一項(xiàng)非常重要，但卻又難以掌控的工作。由于缺乏可以量化的標(biāo)準(zhǔn)以及具體明確的規(guī)定，風(fēng)險(xiǎn)評(píng)估越來越成為空谷回音，雖然聲勢響亮，但實(shí)際的應(yīng)者寥寥。隨著網(wǎng)絡(luò)威脅的不斷加劇，這一尷尬現(xiàn)狀也亟待得到解決。

12月16日，由中國信息協(xié)會(huì)信息安全專業(yè)委員會(huì)舉辦的“中國信息安全風(fēng)險(xiǎn)評(píng)估現(xiàn)狀與展望高峰論壇”在京舉行。主辦方強(qiáng)調(diào)：這次論壇最重要的目的，就是向全社會(huì)展示我國信息安全風(fēng)險(xiǎn)評(píng)估工作目前的成績，以及對未來的估計(jì)和把握。

據(jù)了解，我國的信息安全風(fēng)險(xiǎn)評(píng)估工作自2003年啟動(dòng)以來，歷經(jīng)了調(diào)研、標(biāo)準(zhǔn)編寫和試點(diǎn)工作三個(gè)階段。2003年7月，國信辦組織的課題組先后對四個(gè)地區(qū)（北京、廣州、深圳和上海）十幾個(gè)行業(yè)的50多家單位進(jìn)行了深入細(xì)致的調(diào)查與研究，向國信辦提交了《信息安全風(fēng)險(xiǎn)評(píng)估調(diào)查報(bào)告》和《信息安全風(fēng)險(xiǎn)評(píng)估研究報(bào)告》，并作為傳閱文件提交到2004年1月9日在北京召開的全國信息安全保障工作會(huì)議上，供與會(huì)代表參閱。2004年，課題組組織有關(guān)單位編制了國家標(biāo)準(zhǔn)《信息安全風(fēng)險(xiǎn)評(píng)估指南》（草案）。

2005年年初，國信辦組織了北京市、上海市、黑龍江省、云南省、人民銀行、國家稅務(wù)總局、國家電力、國家電子政務(wù)外網(wǎng)8個(gè)試點(diǎn)單位，開展了基于標(biāo)準(zhǔn)的風(fēng)險(xiǎn)評(píng)估試點(diǎn)工作。2005年9月8日在上海召開的總結(jié)大會(huì)中，國信辦曲維枝副主任對試點(diǎn)工作給予了肯定，要求將試點(diǎn)工作的成果進(jìn)行全面推廣，并對下一步工作提出要求。會(huì)議確定在總結(jié)好試點(diǎn)工作的基礎(chǔ)上，明年將在全國范圍推行信息安全風(fēng)險(xiǎn)評(píng)估工作，三年后要在國家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)實(shí)現(xiàn)信息安全風(fēng)險(xiǎn)評(píng)估管理制度。

據(jù)了解，目前風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)編制原則主要包括以下幾點(diǎn)：一是立足于我國當(dāng)前信息化建設(shè)現(xiàn)狀，對我國信息安全風(fēng)險(xiǎn)評(píng)估方法進(jìn)行總結(jié)、歸納、簡化與提升，注重吸納國外相關(guān)領(lǐng)域的先進(jìn)成果并為我所用,使其本土化；二是可操作性和實(shí)用性。標(biāo)準(zhǔn)是對實(shí)際工作的總結(jié)與提升，但最終還要用于實(shí)踐，要經(jīng)得起實(shí)踐的檢驗(yàn)。因此要可用，可操作; 三是注重吸收主管部門在評(píng)估方面已有的經(jīng)驗(yàn)與成果。如等級(jí)保護(hù)、保密檢查和產(chǎn)品測評(píng)等; 四是科學(xué)性與前瞻性。評(píng)估標(biāo)準(zhǔn)中要體現(xiàn)科學(xué)性。所提供的方法要可信，要具有引領(lǐng)的作用。 (CCW)