信息安全风险评估标准化工作历史和进展.pdfVIP

栏目编辑：胡 欣 E-mail: huxin@cesi.ac.cn 标准与技术追踪 信息安全风险评估标准化工作的 历史和进展 The History and Development of Standardization for Information Security Risk Assessment 中科院研究生院信息安全国家重点实验室 左晓栋 摘 要 说明了信息安全风险评估的基本概念以 1引言 及我国政府对该项工作的战略部署，回顾了国内外信息 在当前我国信息化迅速发展、国民经济对信息技术的 安全风险评估标准的发展历史，介绍了当前我国信息安 依赖性显著增强的情况下，信息安全问题极为重要。党中 全风险评估国家标准的制定情况，并展望了我国信息安 央和国务院对此非常重视，在2003年7月召开的国家信息 化领导小组第三次会议上，讨论并通过了 《关于加强信息 全风险评估工作在2004年的发展。 安全保障工作的意见》。2003年9月，中共中央办公厅、国 关键词 信息安全 风险评估 标准 务院办公厅转发了 《国家信息化领导小组关于加强信息安 全保障工作的意见》（简称27号文），明确了我国信息安全 Abstract: This article gives an explanation for 保障工作的总体原则、主要要求和基本任务。为落实27号 foundations of information security risk assessment and the 文，国家于2004年1月召开了全国信息安全保障工作会议， strategic arrangement of this program made by our 整体研究和部署了我国的信息安全保障工作。 government, with a review of the history of information 27号文中指出：“要重视信息安全风险评估工作，对网 络与信息安全的潜在威胁、薄弱环节、防护措施等进行分 security risk assessment standards home and abroad. Then 析评估，综合考虑网络与信息系统的重要性、涉密程度和 the status of Chinese national standard for information 面临的信息安全风险等因素，进行相应等级的安全建设和 管理。” prospects the future in 2004 of information security risk 全国信息安全保障工作会议则将“开展信息安全风险 assessment program in China.评估和检查”作为我国当前的一项信息安全基础性工作， 要求“抓紧研究制定基础信息网络和重要信息系统风险评 Keywords: information security; risk assessment; 估的管理规范，并组织力量提供技术支持。根据风险评估 standa