随着国民经济和社会信息化进程的加快,网络与信息系统的基础性、全局性作用日益增强,国民经济和社会发展对网络和信息系统的依赖性也越来越大。网络与信息系统自身存在的缺陷、脆弱性以及面临的威胁,使信息系统的运行客观上存在着潜在风险。《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确提出“要重视信息安全风险评估工作,对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估,综合考虑网络与信息系统的重要性、涉密程度和面临的信息安全风险等因素,进行相应等级的安全建设和管理”,将开展信息安全风险评估工作作为提高我国信息安全保障水平的一项重要举措。
信息安全风险评估就是从风险管理角度,运用科学的方法和手段,系统地分析网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施。并为防范和化解信息安全风险,或者将风险控制在可接受的水平,从而最大限度地保障网络和信息安全提供科学依据。
信息安全风险评估分为自评估、检查评估两种形式。自评估是指网络与信息系统拥有、运营或使用单位发起的对本单位信息系统进行的风险评估。检查评估是指信息系统上级管理部门组织的或国家有关职能部门依法开展的风险评估。信息安全风险评估应以自评估为主,自评估和检查评估相互结合、互为补充。自评估和检查评估可依托自身技术力量进行,也可委托第三方机构提供技术支持。
信息安全风险评估工作要按照“严密组织、规范操作、讲求科学、注重实效”的原则开展。要重视和加强对信息安全风险评估工作的组织领导,完善相应的评估制度,形成预防为主、持续改进的信息安全风险评估机制。开展信息安全风险评估工作要遵循国家相关法规和信息安全管理工作的规章,参照相关标准规范及评估流程,切实把握好关键环节和评估步骤,保证信息安全风险评估工作的科学性、规范性和客观性。涉及国家秘密的信息系统的信息安全风险评估工作,必须遵循党和国家有关保密规定的要求。
信息安全风险评估作为信息安全保障工作的基础性工作和重要环节,应贯穿于网络和信息系统建设运行的全过程。在网络与信息系统的设计、验收及运行维护阶段均应当进行信息安全风险评估。
在网络与信息系统规划设计阶段,应通过信息安全风险评估进一步明确安全需求和安全目标;在网络与信息系统验收阶段,应通过信息安全风险评估验证已设计安装的安全措施能否实现安全目标;在网络与信息系统运行维护阶段,应定期进行信息安全风险评估工作,检验安全措施的有效性及对安全环境变化的适应性,以保障安全目标的实现。当安全形势发生重大变化或网络与信息系统使命有重大变更时,应及时进行信息安全风险评估。
要将开展信息安全风险评估作为提高信息安全管理水平的重要方法和措施。要加强网络与信息系统规划设计阶段的信息安全风险评估,避免安全建设的盲目性。网络与信息系统的拥有、运营、使用单位要将开展信息安全风险评估工作制度化,定期组织实施网络与信息系统自评估,并积极配合有关部门的检查评估。有关部门要将开展信息安全风险评估作为基础信息网络和重要信息系统规划、建设和落实等级保护工作要求的重要内容,并对有关经费予以保障。
信息安全风险评估工作敏感性强,涉及网络与信息系统的关键资产和核心信息,网络与信息系统的拥有、运营、使用单位和主管部门要按照“谁主管谁负责,谁运营谁负责”的原则,切实负起严格管理的责任。参与信息安全风险评估工作的单位及其有关人员均应遵守国家有关信息安全和保密的法律法规,并承担相应的责任和义务。信息安全风险评估工作可能涉及个人隐私、工作或商业敏感信息,甚至国家秘密信息,风险评估工作的发起方必须与参与评估的有关单位或人员签订具有法律约束力的保密协议。
国家基础信息网络和关系国计民生的重要信息系统的信息安全风险评估工作,应按有关规定进行。
加强信息安全风险评估的基础性工作。要加快制定和完善信息安全风险评估有关技术标准,尽快完善并颁布《信息安全风险评估指南》和《信息安全风险管理指南》等国家标准。各行业主管部门也可根据本行业特点制定相应的技术规范。重视信息安全风险评估核心技术、方法和工具的研究与攻关,积极开展信息安全风险评估的培训与交流。抓紧研究制定有关信息安全服务资质的管理办法。加强信息安全风险意识的宣传教育,加快培养信息安全风险评估的专门人才。
加强信息安全风险评估工作的组织领导。各信息化和信息安全主管部门要充分认识风险评估工作对于提高信息安全管理水平的重要意义,高度重视对风险评估工作的组织领导,切实加强对风险评估工作的管理,抓紧制定贯彻落实的办法,积极稳妥地推进。要从抓试点开始,逐步探索组织实施和管理的经验,用三年左右的时间在我国基础信息网络和重要信息系统普遍推行信息安全风险评估工作,全面提高我国信息安全的科学管理水平,提升网络与信息系统安全保障能力,为保障和促进我国信息化发展服务。
