济南市信息安全风险评估工作指南资料.docVIP

PAGE PAGE 2 济南市信息安全风险评估工作指南 济南市信息化领导小组办公室 济南市信息产业局 2007年6月 前 言 随着我市国民经济和社会信息化进程的加快，网络与信息系统的基础性、全局性作用日益增强，国民经济和社会发展对网络和信息系统的依赖性也越来越大。网络和信息系统自身存在的缺陷、脆弱性以及面临的威胁，使信息系统的运行客观上存在着潜在风险。信息安全已经成为影响信息化发展的重大问题，引起了国家政府和社会的广泛关注和重视。 《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号文件）提出“要重视信息安全风险评估工作，对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估，综合考虑网络与信息系统的重要性、涉密程度和面临的信息安全风险等因素，进行相应等级的安全建设和管理。” 中央领导同志也多次就信息安全风险评估工作做出重要指示。 信息系统信息安全风险评估是为了了解系统究竟面临什么风险、有多大风险，以及应该采取什么样的措施去减少、化解或规避风险，是为了解决这样一些问题：什么地方、什么时间可能出问题？会出什么问题？出问题的可能性有多大？这些问题可能产生的后果是什么？应该采取什么样的措施加以避免和弥补？它是认识和评价信息系统信息安全状况的基本方法和手段，是信息安全的基础性工作。 市信息化办公室、市信息产业局结合济南市信息安全风险评估试点工作过程中的实践经验，总结形成了一套信息安全风险评估流程，以此为基础编写了《济南市信息安全风险评估工作指南》（以下简称“工作指南”）。本工作指南对信息安全风险评估的基本概念、评估方法、实施过程、项目管理和质量管理等方面作了全面的阐述。在风险评估实际工作中可以根据具体情况，对风险评估的方法、过程和工具进行适当的选择和发展，完成好信息安全风险评估工作。 本工作指南是我市开展信息系统信息安全风险评估工作的指导文件，它的编制旨在使信息安全风险评估作为一项科学的方法为我市各单位所接受、理解和运用，对各单位的信息安全风险评估工作起到指导作用。  目 录 TOC \o 1-3 \h \z \u HYPERLINK \l _Toc164146728 第一章 适用范围 PAGEREF _Toc164146728 \h 5 HYPERLINK \l _Toc164146729 第二章 参考依据 PAGEREF _Toc164146729 \h 6 HYPERLINK \l _Toc164146730 第三章 信息安全风险评估概述 PAGEREF _Toc164146730 \h 7 HYPERLINK \l _Toc164146731 3.1基本概念 PAGEREF _Toc164146731 \h 7 HYPERLINK \l _Toc164146732 3.2名词术语 PAGEREF _Toc164146732 \h 7 HYPERLINK \l _Toc164146733 3.3风险评估基本原理 PAGEREF _Toc164146733 \h 10 HYPERLINK \l _Toc164146734 3.3.1风险评估要素关系模型 PAGEREF _Toc164146734 \h 10 HYPERLINK \l _Toc164146735 3.3.2风险计算模型 PAGEREF _Toc164146735 \h 11 HYPERLINK \l _Toc164146736 第四章 风险评估原则 PAGEREF _Toc164146736 \h 12 HYPERLINK \l _Toc164146737 4.1可控性原则 PAGEREF _Toc164146737 \h 12 HYPERLINK \l _Toc164146738 4.2完整性原则 PAGEREF _Toc164146738 \h 12 HYPERLINK \l _Toc164146739 4.3最小影响原则 PAGEREF _Toc164146739 \h 12 HYPERLINK \l _Toc164146740 4.4保密性原则 PAGEREF _Toc164146740 \h 13 HYPERLINK \l _Toc164146741 4.5可恢复性原则 PAGEREF _Toc164146741 \h 13 HYPERLINK \l _Toc164146742 第五章 风险评估和信息系统生命周期 PAGEREF _Toc164146742 \h 14 HYPERLINK \l _Toc164146743 5.1信息系统生命周期 PAGEREF _Toc164146743 \h 14 HYPERLINK \l _T