险评估的目的和意义.ppt

《险评估的目的和意义.ppt》由会员分享，可在线阅读，更多相关《险评估的目的和意义.ppt（19页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、信息安全风险评估的目的和意义信息安全风险评估的目的和意义网络与信息安全组网络与信息安全组网络与信息安全组网络与信息安全组2020202015151515年年年年1 1 1 11 1 1 1月月月月12121212日日日日信息安全风险评估的目的和意义信息安全风险评估的目的和意义1 1、风险评估是分析确定风险的过程、风险评估是分析确定风险的过程、风险评估是分析确定风险的过程、风险评估是分析确定风险的过程2 2、信息安全风险评估是信息安全建设的起点和、信息安全风险评估是信息安全建设的起点和、信息安全风险评估是信息安全建设的起点和、信息安全风险评估是信息安全建设的起点和基础基础基础基础3 3、信息安全

2、风险评估是需求主导和突出重点原、信息安全风险评估是需求主导和突出重点原、信息安全风险评估是需求主导和突出重点原、信息安全风险评估是需求主导和突出重点原则的具体体现则的具体体现则的具体体现则的具体体现4 4、重视风险评估是信息化比较发达国家的基本、重视风险评估是信息化比较发达国家的基本、重视风险评估是信息化比较发达国家的基本、重视风险评估是信息化比较发达国家的基本经验经验经验经验5 5、信息安全风险评估的组织者是信息系统的主、信息安全风险评估的组织者是信息系统的主、信息安全风险评估的组织者是信息系统的主、信息安全风险评估的组织者是信息系统的主管部门和运营单位管部门和运营单位管部门和运营单位管部门

3、和运营单位6 6、信息安全风险评估工作的协调合作与信息交、信息安全风险评估工作的协调合作与信息交、信息安全风险评估工作的协调合作与信息交、信息安全风险评估工作的协调合作与信息交流流流流信息安全风险评估的目的和意义信息安全风险评估的目的和意义 信息安全风险评估是加强信息安全保信息安全风险评估是加强信息安全保障体系建设和管理的关键环节。通过障体系建设和管理的关键环节。通过开展信息安全风险评估工作，可以发开展信息安全风险评估工作，可以发现信息安全存在的主要问题和矛盾，现信息安全存在的主要问题和矛盾，找到解决诸多关键问题的办法。找到解决诸多关键问题的办法。信息安全风险评估的目的和意义信息安全风险评估的

4、目的和意义1、风险评估是分析确定风险的过程 任何系统的安全性都可以通过风险的大小来衡量。科学分析系统的安全风险，综合平衡风险和代价的过程就是风险评估。信息安全风险评估的目的和意义信息安全风险评估的目的和意义 在日常生活和工作中，风险评估也是随处可见，为了分析确定系统风险及风险大小，进而决定采取什么措施去减少、转移、避免风险，把风险控制在可以容忍的范围内。信息安全风险评估的目的和意义信息安全风险评估的目的和意义 人们经常会提出这样一些问题：人们经常会提出这样一些问题：人们经常会提出这样一些问题：人们经常会提出这样一些问题：什么地方、什么时间可能出问题？什么地方、什么时间可能出问题？什么地方、什么

5、时间可能出问题？什么地方、什么时间可能出问题？出问题的可能性有多大？出问题的可能性有多大？出问题的可能性有多大？出问题的可能性有多大？这些问题的后果是什么？这些问题的后果是什么？这些问题的后果是什么？这些问题的后果是什么？应该采取什么样的措施加以避免和弥补？应该采取什么样的措施加以避免和弥补？应该采取什么样的措施加以避免和弥补？应该采取什么样的措施加以避免和弥补？总是试图找出最合理的答案。这一过程实际总是试图找出最合理的答案。这一过程实际总是试图找出最合理的答案。这一过程实际总是试图找出最合理的答案。这一过程实际上就是风险评估。早在上个世纪初期，科学上就是风险评估。早在上个世纪初期，科学上就是

6、风险评估。早在上个世纪初期，科学上就是风险评估。早在上个世纪初期，科学家就已开始研究风险管理理论。家就已开始研究风险管理理论。家就已开始研究风险管理理论。家就已开始研究风险管理理论。信息安全风险评估的目的和意义信息安全风险评估的目的和意义2 2、信息安全风险评估是信息安全建设的起点和、信息安全风险评估是信息安全建设的起点和、信息安全风险评估是信息安全建设的起点和、信息安全风险评估是信息安全建设的起点和基础基础基础基础 信息安全风险评估是风险评估理论和方法在信息安全风险评估是风险评估理论和方法在信息安全风险评估是风险评估理论和方法在信息安全风险评估是风险评估理论和方法在信息系统中的运用，是科学分

7、析理解信息和信息系统中的运用，是科学分析理解信息和信息系统中的运用，是科学分析理解信息和信息系统中的运用，是科学分析理解信息和信息系统在机密性、完整性、可用性等方面信息系统在机密性、完整性、可用性等方面信息系统在机密性、完整性、可用性等方面信息系统在机密性、完整性、可用性等方面所面临的风险，并在风险的预防、风险的控所面临的风险，并在风险的预防、风险的控所面临的风险，并在风险的预防、风险的控所面临的风险，并在风险的预防、风险的控制、风险的转移、风险的补偿、风险的分散制、风险的转移、风险的补偿、风险的分散制、风险的转移、风险的补偿、风险的分散制、风险的转移、风险的补偿、风险的分散等之间作出决策的过

8、程。等之间作出决策的过程。等之间作出决策的过程。等之间作出决策的过程。信息安全风险评估的目的和意义信息安全风险评估的目的和意义 所有信息安全建设都应该是基于信息所有信息安全建设都应该是基于信息安全风险评估，只有在正确地、全面安全风险评估，只有在正确地、全面地理解风险后，才能在控制风险、减地理解风险后，才能在控制风险、减少风险、转移风险之间作出正确的判少风险、转移风险之间作出正确的判断，决定调动多少资源、以什么的代断，决定调动多少资源、以什么的代价、采取什么样的应对措施去化解、价、采取什么样的应对措施去化解、控制风险。控制风险。信息安全风险评估的目的和意义信息安全风险评估的目的和意义3、信息安全

9、风险评估是需求主导和突出、信息安全风险评估是需求主导和突出重点原则的具体体现重点原则的具体体现 如果说信息安全建设必须从实际出发如果说信息安全建设必须从实际出发，坚持需求主导、突出重点，则风险，坚持需求主导、突出重点，则风险评估（需求分析）就是这一原则在实评估（需求分析）就是这一原则在实际工作中的重要体现。从理论上讲风际工作中的重要体现。从理论上讲风险总是客观存在的。安全是安全风险险总是客观存在的。安全是安全风险与安全建设管理代价的综合平衡。与安全建设管理代价的综合平衡。信息安全风险评估的目的和意义信息安全风险评估的目的和意义 不考虑风险的信息化是要付出代价 有时代价可能很高，甚至难以承受 信

10、息安全风险评估的目的和意义信息安全风险评估的目的和意义 不计成本、片面地追求绝对安全、试图消灭风险或完全避免风险是不现实的，也不是需求主导原则所要求的。坚持从实际出发，坚持需求主导、突出重点，就必须科学地评估风险，有效控制风险。信息安全风险评估的目的和意义信息安全风险评估的目的和意义4、重视风险评估是信息化比较发达国家、重视风险评估是信息化比较发达国家的基本经验的基本经验 由于信息技术的飞速发展，关系国计由于信息技术的飞速发展，关系国计民生的关键信息基础设施的规模越来民生的关键信息基础设施的规模越来越大，同时也极大地增加了复杂程度越大，同时也极大地增加了复杂程度，发达国家越来越重视信息安全风险

11、，发达国家越来越重视信息安全风险评估工作，提倡风险评估制度化。评估工作，提倡风险评估制度化。信息安全风险评估的目的和意义信息安全风险评估的目的和意义 上个世纪上个世纪上个世纪上个世纪7070年代，美国政府就发布了自动年代，美国政府就发布了自动年代，美国政府就发布了自动年代，美国政府就发布了自动化数据处理风险评估指南。其后颁布的关化数据处理风险评估指南。其后颁布的关化数据处理风险评估指南。其后颁布的关化数据处理风险评估指南。其后颁布的关于信息安全基本政策文件联邦信息资源安于信息安全基本政策文件联邦信息资源安于信息安全基本政策文件联邦信息资源安于信息安全基本政策文件联邦信息资源安全明确提出了信息安

12、全风险评估的要求，全明确提出了信息安全风险评估的要求，全明确提出了信息安全风险评估的要求，全明确提出了信息安全风险评估的要求，要求联邦政府部门依据信息和信息系统所面要求联邦政府部门依据信息和信息系统所面要求联邦政府部门依据信息和信息系统所面要求联邦政府部门依据信息和信息系统所面临的风险，根据信息丢失、滥用、泄露、未临的风险，根据信息丢失、滥用、泄露、未临的风险，根据信息丢失、滥用、泄露、未临的风险，根据信息丢失、滥用、泄露、未授权访问等造成损失的大小，制订、实施信授权访问等造成损失的大小，制订、实施信授权访问等造成损失的大小，制订、实施信授权访问等造成损失的大小，制订、实施信息安全计划，以保证

13、信息和信息系统应有的息安全计划，以保证信息和信息系统应有的息安全计划，以保证信息和信息系统应有的息安全计划，以保证信息和信息系统应有的安全。安全。安全。安全。信息安全风险评估的目的和意义信息安全风险评估的目的和意义 有些国家和国际组织还十分重视阶段有些国家和国际组织还十分重视阶段性的再评估工作，以求得信息安全措性的再评估工作，以求得信息安全措施可以持续地适应信息安全形势的变施可以持续地适应信息安全形势的变化和发展。化和发展。（美国联邦政府的年度评估制度（美国联邦政府的年度评估制度，OECD信息安全九条中的评估和再评信息安全九条中的评估和再评估）估）信息安全风险评估的目的和意义信息安全风险评估的

14、目的和意义6 6、信息安全风险评估工作的协调合作与信息交、信息安全风险评估工作的协调合作与信息交、信息安全风险评估工作的协调合作与信息交、信息安全风险评估工作的协调合作与信息交流流流流 随着互联互通的发展，信息系统相互依赖性随着互联互通的发展，信息系统相互依赖性随着互联互通的发展，信息系统相互依赖性随着互联互通的发展，信息系统相互依赖性的增加，信息安全的相互共同责任越来越大的增加，信息安全的相互共同责任越来越大的增加，信息安全的相互共同责任越来越大的增加，信息安全的相互共同责任越来越大，因此，风险评估有关的信息交流共享是必，因此，风险评估有关的信息交流共享是必，因此，风险评估有关的信息交流共享

15、是必，因此，风险评估有关的信息交流共享是必需的，这是互联互通的参与者相互负责任的需的，这是互联互通的参与者相互负责任的需的，这是互联互通的参与者相互负责任的需的，这是互联互通的参与者相互负责任的体现，也是搞好安全防范工作的重要的前提体现，也是搞好安全防范工作的重要的前提体现，也是搞好安全防范工作的重要的前提体现，也是搞好安全防范工作的重要的前提之一，符合所有参与者的共同利益。在信息之一，符合所有参与者的共同利益。在信息之一，符合所有参与者的共同利益。在信息之一，符合所有参与者的共同利益。在信息安全风险评估中，凡与互联的其它参与者有安全风险评估中，凡与互联的其它参与者有安全风险评估中，凡与互联的

16、其它参与者有安全风险评估中，凡与互联的其它参与者有关的情况，应该依据牵涉范围，及时交换或关的情况，应该依据牵涉范围，及时交换或关的情况，应该依据牵涉范围，及时交换或关的情况，应该依据牵涉范围，及时交换或公布，以便有关联的单位尽早采取应对措施。公布，以便有关联的单位尽早采取应对措施。公布，以便有关联的单位尽早采取应对措施。公布，以便有关联的单位尽早采取应对措施。信息安全风险评估的目的和意义信息安全风险评估的目的和意义 信息共享的同时意味着必要的保密责任与义务的转移，因此，强调信息共享的同时，也应有制度性的要求，明确共享信息保密、完整、可用的责任和义务。信息安全风险评估的目的和意义信息安全风险评估的目的和意义 结束语：结束语：经过多年的探索，有关方面已经在信经过多年的探索，有关方面已经在信息安全风险评估方面做了大量工作，息安全风险评估方面做了大量工作，积累了一些宝贵的经验。积累了一些宝贵的经验。今后，还应该更加重视信息化带来的今后，还应该更加重视信息化带来的新的安全风险和信息安全风险。扎扎新的安全风险和信息安全风险。扎扎实实搞好信息安全风险评估有关的各实实搞好信息安全风险评估有关的各项工作。项工作。问题？谢谢大家！请提出宝贵意见请提出宝贵意见