重视信息安全评估 规避网络意外风险
时间:2022-07-12 10:12:00
一、国内外发展情况
目前我国已步入信息化时代,随着国民经济和社会信息化进程的全面加速,各地政府纷纷建立起基础网络平台和重要的信息系统,这些网络与信息系统的基础性、全局性作用日益增强,国民经济和社会发展对基础网络平台和重要信息系统的依赖性也越来越大,网络与信息系统自身存在的缺陷、脆弱性以及面临的威胁,使信息系统的运行在客观上存在着潜在风险,信息系统安全的重要性更显突出,已成为国家安全的基座。
近年来我国政府也开始重视信息安全风险评估工作。2003年7月《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)文件中明确提出:要重视信息安全风险评估工作,对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估,综合考虑网络与信息系统的重要性、程度和面临的风险等因素,进行相应等级的安全建设和管理。
为落实中办发[2003]27号文件要求,由国家信息中心、公安部、安全部、信息产业部、国家认监委、国家标准化委、国家密码管理局、国家保密局等单位联合组成课题组先后对四个地区、十几个行业的50多家单位进行了调研考查,制定出《信息安全风险评估指南》、《信息安全风险管理指南》等标准和规范。
2004年6月天津市市委办公厅、市政府办公厅联合转发了《关于加强我市信息安全保障工作的意见》(津党办发[2004]15号)文件,成立了天津市网络与信息安全协调小组,加强了对我市信息安全工作的领导和管理。
二、风险评估工作内容
信息安全风险评估工作,就是从风险管理角度入手,依据国家风险评估管理规范和技术标准,采用适当的风险评估工具,运用定性及定量的分析方法和手段,系统分析信息化业务和信息系统资产所面临的人为的或自然的潜在威胁、薄弱环节、防护措施等,准确了解信息系统安全状况,综合考虑网络与信息系统的重要性、程度和面临的风险等因素,确定风险等级和风险控制顺序,有针对性地帮助制定抵御威胁的安全策略和防护措施,指导安全建设的合理投入。
风险评估的形式按照评估实施者的不同,可将其分为自评估和检查评估二种形式:
自评估
自评估就是信息系统拥有者依靠自身力量,依据有关信息安全技术与管理标准,对自有网络和信息系统进行风险评估的活动。该网络和信息系统的拥有者通过自评估随时掌握其安全状况,不断调整安全措施,有效地进行安全控制。其优点是有利于自身系统的保密性,发挥行业和本部门专业人员的业务专长,降低了风险评估的费用,提高了本单位风险评估能力。
检查评估
检查评估通常是由政府安全主管机关或本单位的上级主管机构发起,旨在依据已经颁布的法规或标准进行的、具有强制意味的检查活动,是经过行政手段加强信息安全的重要措施。其优点是这种形式具有权威性。
自评估和检查评估都可以通过信息安全风险评估的服务机构提供咨询、培训及相关工具,目前建议主要采用自评估形式,以保证本单位信息的保密性、完整性和可用性。它也是检查评估的基础和必要条件。
按照国信办2006年5号文件的要求,在网络与信息系统的设计、验收、运行维护阶段,以及当安全形势发生重大变化或信息系统使命有重大变更时均应及时进行信息安全风险评估。
在风险评估过程中,应以本单位的业务为核心,围绕相关信息资产(如计算机网络设备、应用系统、数据库等)及价值,对其所面临的威胁、所具有的弱点和已有的安全控制措施展开分析工作。
风险评估是信息安全管理体系的基础,信息安全风险管理的主要工作就是要发现风险,并在有限的资源下,进行削减风险或控制风险。只有建立信息安全管理体系,并有效地进行安全风险管理与控制,才能真正保护本单位的利益,并在安全事件发生的时候,最大限度地减少经济损失和负面影响。
三、目前需解决的问题
目前信息安全风险评估工作在我国尚处于起步阶段,各地开展和重视此项工作的程度也不尽相同,一些单位的网络安全还处于亚健康状态,需要强化信息安全管理意识,并注意解决以下几方面的问题:
1.建立健全管理体制
依据国家在信息安全管理方面的法律、法规、标准和规范,建立安全管理制度,通过对安全评估和实施整改等各环节的监督管理,层层落实安全管理责任制,形成完善的信息安全管理体系。
2.保障资金投入
努力保障信息安全资金的投入,充分发挥信息安全保障资金的使用效益,认真分析信息安全风险评估的结果,既要保障安全,又不能因保护过度造成资金浪费。
3.聚集技术和管理人才
注意聚集和培养熟悉并有能力进行信息安全风险评估的技术人员,尤其是注意吸收那些既懂管理又懂技术的专业风险评估人才,形成一支信息安全风险评估专业队伍。
4.避免由于风险评估不当而导致新的风险出现
在进行信息安全风险评估过程中,由评估得到的网络和信息系统安全漏洞、单位安全保障的现状和弱点等信息,对本单位的网络和信息系统的安全是致命风险,这些风险一旦被泄露出去,将会造成更大的不堪设想的新风险,从而出现比不评估还要大的风险,因此应严格避免此类情况的发生。
