信息安全风险评估有据可依

申请免费试用、咨询电话：400-8352-114

对于众多的企业而言，信息安全风险评估一直是一项非常重要，但却又难以掌控的工作。由于缺乏可以量化的标准以及具体明确的规定，风险评估越来越成为空谷回音，虽然声势响亮，但实际的应者寥寥。随着网络威胁的不断加剧，这一尴尬现状也亟待得到解决。

12月16日，由中国信息协会信息安全专业委员会举办的“中国信息安全风险评估现状与展望高峰论坛”在京举行。主办方强调：这次论坛最重要的目的，就是向全社会展示我国信息安全风险评估工作目前的成绩，以及对未来的估计和把握。

据了解，我国的信息安全风险评估工作自2003年启动以来，历经了调研、标准编写和试点工作三个阶段。2003年7月，国信办组织的课题组先后对四个地区（北京、广州、深圳和上海）十几个行业的50多家单位进行了深入细致的调查与研究，向国信办提交了《信息安全风险评估调查报告》和《信息安全风险评估研究报告》，并作为传阅文件提交到2004年1月9日在北京召开的全国信息安全保障工作会议上，供与会代表参阅。2004年，课题组组织有关单位编制了国家标准《信息安全风险评估指南》（草案）。

2005年年初，国信办组织了北京市、上海市、黑龙江省、云南省、人民银行、国家税务总局、国家电力、国家电子政务外网8个试点单位，开展了基于标准的风险评估试点工作。2005年9月8日在上海召开的总结大会中，国信办曲维枝副主任对试点工作给予了肯定，要求将试点工作的成果进行全面推广，并对下一步工作提出要求。会议确定在总结好试点工作的基础上，明年将在全国范围推行信息安全风险评估工作，三年后要在国家基础信息网络和重要信息系统实现信息安全风险评估管理制度。

据了解，目前风险评估标准编制原则主要包括以下几点：一是立足于我国当前信息化建设现状，对我国信息安全风险评估方法进行总结、归纳、简化与提升，注重吸纳国外相关领域的先进成果并为我所用,使其本土化；二是可操作性和实用性。标准是对实际工作的总结与提升，但最终还要用于实践，要经得起实践的检验。因此要可用，可操作; 三是注重吸收主管部门在评估方面已有的经验与成果。如等级保护、保密检查和产品测评等; 四是科学性与前瞻性。评估标准中要体现科学性。所提供的方法要可信，要具有引领的作用。 (CCW)