论电力行业信息安全风险评估工作论文.pdfVIP

论电力行业信息安全风险评估工作 李永中 (国华锦界能源有限责任公司，陕西神木719319) 摘要：信息安全是国家安全的重要组成部分，为保证信息安全，建立信息安全管理体系已成为目前安全建 设的首要任务。风险评估作为信息安全管理体系建设的基础，在体系建设的各个阶段发挥着重要的作用。 通过分析近几年信息安全风险评估工作历程，结合信息管理经验，对当前信息安全风险评估工作提出了建 议，并对风险评估进行了重新认识。 关键词：电力行业；信息安全；风险评估 南》标准规范，并讨论通过了《关于开展信息安全风 0 引言 险评估工作的意见》，要求3年内在国家基础信息 随着国民经济和社会信息化进程的全面加快， 网络和重要行业信息系统中普遍推行信息安全风 险评估工作； 网络和信息系统的基础性、全局性作用日益增强。 (3)2006年电力行业的相关部门和协会开始了 网络与信息安全也随之上升为一个事关国家政治 信息安全风险评估的培训和认证工作，并在部分电 稳定、社会安定、经济有序运行和社会主义精神文 明建设的全局性问题。 网和发电企业进行了信息安全风险评估的有益尝 威胁来自何方?安全风险有多大?加强信息 试，取得了一些评估经验。 在5年的演进过程中，国家对此项工作始终坚 安全保障工作应采取哪些措施?要投人多少人力、 持不懈，最终将其变成了一项“摸家底”的基础性工 财力和物力?确定已采取的信息安全措施是否有 作，以后还将变成一项常态的、基础性的工作。 效?按照相应信息安全等级进行安全建设和管理 的依据何在?这些问题都有待回答。 2信息安全风险管理的目的 风险评估是解决上述问题的重要方法，风险评 估1二作是信息安全防护工作体系中的一项基础性 资产与风险是天生的一对矛盾，资产价值越 工作。 高，面临的风险就越大。信息资产有着与传统资产 系统的安全性可通过风险大小来度量，科学地 不同的特性，面临着新型风险。信息安全风险管理 分析系统在保密性、完整性、可用性等方面所面临 的目的就是要缓解和平衡这一对矛盾，将风险控制 的威胁，发现系统安全的主要问题和矛盾，就能够 到可接受的程度，保护信息及其相关资产，最终保 在安全风险的预防、减少、转移、补偿和分散等方面 证机构能够完成其使命。 做出决策，最大限度地控制和化解安全威胁，这是 信息安全风险评估是指依据国家有关信息安 风险评估工作的最大价值之所在。 全技术标准，对信息系统及由其处理、传输和存储 的信息的保密性、完整性和可用性等安全属性进行 1 历史演进 科学评价的过程，它要评估信息系统的脆弱性、信 息系统面临的威胁以及脆弱性被威胁源利用后所 在过去的5年里，我国的信息安全风险评估工 产生的实际负面影响，并根据安全事件发生的可能 作经历了如下的“里程碑”事件： 性和负面影响的程度来识别信息系统