400-626-7377信息安全風(fēng)險(xiǎn)評(píng)估
4.信息安全風(fēng)險(xiǎn)評(píng)估
重視信息安全風(fēng)險(xiǎn)評(píng)估是信息化發(fā)達(dá)國(guó)家的重要經(jīng)驗(yàn)。作為風(fēng)險(xiǎn)評(píng)估先驅(qū)者的美國(guó)等信息化發(fā)達(dá)國(guó)家越來(lái)越重視信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估工作。早在上個(gè)世紀(jì)70年代初期,美國(guó)政府就提出了風(fēng)險(xiǎn)評(píng)估的要求,要求聯(lián)邦政府部門(mén)依據(jù)信息和信息系統(tǒng)所面臨的風(fēng)險(xiǎn),根據(jù)信息丟失、濫用、泄露和未授權(quán)訪問(wèn)等造成損失的大小,制訂、實(shí)施和維持信息安全計(jì)劃,以保證信息和信息系統(tǒng)的適度安全。2002年頒布的< 2002聯(lián)邦信息安全管理法》對(duì)信息安全風(fēng)險(xiǎn)評(píng)估提出了更加具體的要求,指定聯(lián)邦管理和預(yù)算辦公室( Office of Management and Budget,
OIVIB)督促這項(xiàng)工作,要求各聯(lián)邦機(jī)構(gòu)周期性地評(píng)估各自信息和信息系統(tǒng)的未授權(quán)訪問(wèn)、信息泄露、服務(wù)中斷和系統(tǒng)破壞所造成的風(fēng)險(xiǎn)和危害,周期性地測(cè)試信息安全措施和技術(shù)的有效性。
2006年6月,美國(guó)國(guó)土安全部正式發(fā)布了《國(guó)家基礎(chǔ)設(shè)施保護(hù)計(jì)劃》( National Infrastructure Protection Program,NIPP)。NIPP是美國(guó)國(guó)土安全框架的一個(gè)關(guān)鍵要素,它是建立于一系列國(guó)家戰(zhàn)略之上,包括2002年7月發(fā)布的《國(guó)土安全戰(zhàn)略》,2003年2月發(fā)布的《關(guān)鍵基礎(chǔ)設(shè)施和重要資產(chǎn)物理保護(hù)的國(guó)家戰(zhàn)略》,2003年2月發(fā)布的《保護(hù)網(wǎng)際空間國(guó)家戰(zhàn)略》,以及2003年12月發(fā)布的第7號(hào)國(guó)土安全總統(tǒng)令。從NIPP和這一系列美國(guó)國(guó)家戰(zhàn)略中可以看出,以風(fēng)險(xiǎn)管理框架為基礎(chǔ)開(kāi)展風(fēng)險(xiǎn)評(píng)估工作,已經(jīng)成為美國(guó)等西方發(fā)達(dá)國(guó)家保障關(guān)鍵基礎(chǔ)設(shè)施和重要資源,從而保護(hù)國(guó)土安全的一個(gè)核心要素和重要手段。
信息安全風(fēng)險(xiǎn)評(píng)估是信息安全保障體系建立過(guò)程中一種重要的評(píng)價(jià)方法和決策機(jī)制,在信息安全保障體系建設(shè)中具有不可替代的地位和重要作用。信息安全風(fēng)險(xiǎn)評(píng)估是信息安全保障的基礎(chǔ)性互作,它既是明確安全需求、確定安全保障重點(diǎn)的科學(xué)方法和手段,又是信息安全建設(shè)和管理的重要保證。沒(méi)有準(zhǔn)確及時(shí)的風(fēng)險(xiǎn)評(píng)估,各個(gè)機(jī)構(gòu)無(wú)法對(duì)其信息安全的狀況做出準(zhǔn)確的判斷。
風(fēng)險(xiǎn)評(píng)估工作的目的是為國(guó)家信息化發(fā)展服務(wù),促進(jìn)信息安全保障體系的建設(shè),提高信息系統(tǒng)的安全保護(hù)能力。目前,國(guó)家關(guān)鍵基礎(chǔ)設(shè)施對(duì)信息系統(tǒng)的依賴(lài)性越來(lái)越強(qiáng),因此,許多重要信息網(wǎng)絡(luò)和重要信息系統(tǒng)單位開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估的需求越來(lái)越迫切,一些大型應(yīng)用行業(yè)在考慮信息系統(tǒng)建設(shè)的布局時(shí),已經(jīng)在信息安全評(píng)估、咨詢(xún)和規(guī)劃方面投入了實(shí)質(zhì)性的資金支持。現(xiàn)階段,風(fēng)險(xiǎn)評(píng)估工作的主要任務(wù)是要認(rèn)清信息安全環(huán)境和狀況,采取和完善安全保障措施,使其更加經(jīng)濟(jì)有效,并使信息安全策略保持一致性和持續(xù)性。
