信息安全风险评估与等级保护的关系.docxVIP

PAGE 1 PAGE 1 信息安全风险评估与等级保护的关系  当前全球网络化进程发展快速。网络应用的类别日益增多。复杂程度越来越高，网络与信息安全正在上升为大家普遍关注的核心焦点之一。网络欺诈、利用应用软件漏洞进行传播恶意代码以致计算机或信息系统不可用等事件时有发生。分析了信息安全风险评估与等级保护的关系，明确了风险评估可以作为信息安全等级保护的基础性工作；同时建议各行业在选择服务商时可采信中国信息安全认证中心的信息安全风险评估服务资质认证结果。  引言  当前全球网络化进程发展快速，网络应用的类别日益增多，复杂程度越来越高，网络与信息安全正在上升为大家普遍关注的核心焦点之一。在中国，随着经济的快速发展，信息化建设取得令人瞩目的成果，越来越多的基础设施和经济、社会以及文化事业依靠于信息化和互联网执行，如电子政务与电子商务等广泛深入的应用。这些应用带给人们显著的信息共享与购物便利，同时也面临更多的信息安全风险，包括网络欺诈、利用应用软件漏洞进行传播恶意代码以致计算机或信息系统不可用等事件的发生。从目前来看，只依靠安全产品进行被动防守已经很难抵挡日益疯狂的各种进攻，建议每一个信息系统运营者可通过加强信息安全风险评估和分级管理，做到系统安全可控，保护每一个最终用户的切身利益。  1信息安全风险评估与等级保护的现状与关系  中国政府高度重视信息安全工作。颁发了一系列政策文件及国家标准。如，2003年中央颁发了第27号文件《国家信息化领导小组关于加强信息安全保障工作的意见》，该文件明确提出“要重视信息安全风险评估工作”及“实行信息安全等级保护”的要求；2006年由原国信办发布《关于开展信息安全风险评估工作的意见》(国信办2006年5号文)；同时，随着信息安全等级保护制度的推行，公安部会同有关部门出台了一系列政策文件，主要政策文件包括：《关于信息安全等级保护工作的实施意见》(公通字【2004】66号)、《信息安全等级保护管理方法》(公通字【2007】43号)等；国家信息安全标准化委员会颁发了《信息安全风险评估规范》(GB/T20984-2007)、《信息系统安全等级保护基本要求》(GB/T22239—2008)等多个国家标准。  为了进一步落实等级保护制度、开展风险评估工作，2008年国家发改委、公安部、保密局共同发布《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》(发改高技【2008】2071号)；工信部发布了《中华人民共和国工业和信息化部令》(2010年工信部第11号部长令)等文件。这些文件均明确了重要信息系统应开展信息安全风险评估工作，非涉密信息系统的风险评估应根据国家标准，由相关的专业机构完成工作。并出具风险评估报告等要求”。  信息系统由于要支持组织完成相应的使命、任务或实现组织战略目标，往往成为竞争对手、黑客等各种攻击者攻击的目标和对象，同时由于多种原因导致系统具有不同程度的脆弱性。从而被外界或内部的威逼所利用，导致安全事件的频发。在信息系统安全生命周期的各个阶段中，往往由于各种原因导致了信息安全风险：首先，由于在信息系统规划与设计阶段，运营者对安全目标和策略熟悉不够清楚，没有识别及分析安全因素，导致风险连续到信息系统的实施和运维阶段；其次，已建设完成的信息系统往往规模浩大、系统复杂，数据安全属性要求存在差异，假如没有对业务需求和流程进行科学分析，对整个信息系统采用相同的风险评估方法及采取安全保护措施，将不能保证资源的合理配置，造成铺张。实施等级保护，可以将信息系统划分、确定等级，实现对重要系统的重点保护。因此，建设安全的信息系统须在信息系统的全生命周期中不断进行风险评估，同时考虑系统等级的要求。综合平衡系统风险与安全投资成本，最终才能够建设满意实际需要的安全的信息系统。  信息安全风险评估贯穿于等级保护的系统定级与安全整改阶段。  系统定级阶段，系统定级是依据信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定的。每一个系统运营者须从业务需求动身，依据《信息安全风险评估规范》(GB／T20984-2007)国家标准对所评估信息资产的重要性、威逼发生的频率，以及系统自身脆弱性的严重程度进行识别和关联分析，推断信息系统面临的风险及应采取什么强度的安全措施将风险可能造成的影响掌握在可接受的范围内。所以对信息系统进行全面的风险评估，了解信息及信息系统对国家安全、经济建设和社会生活的重要程度及遭到破坏后对其的危害程度。因此，风险评估的结果可作为确定信息系统保护级别的一个参考依据。  安全整改阶段。安全整改是依据信息安全等级保护国家标准的要求，从管理与技术两个方面选择不同强度的安