信息安全风险评估

4.信息安全风险评估

重视信息安全风险评估是信息化发达国家的重要经验。作为风险评估先驱者的美国等信息化发达国家越来越重视信息系统风险评估工作。早在上个世纪70年代初期，美国政府就提出了风险评估的要求，要求联邦政府部门依据信息和信息系统所面临的风险，根据信息丢失、滥用、泄露和未授权访问等造成损失的大小，制订、实施和维持信息安全计划，以保证信息和信息系统的适度安全。2002年颁布的< 2002联邦信息安全管理法》对信息安全风险评估提出了更加具体的要求，指定联邦管理和预算办公室( Office of Management and Budget，

OIVIB)督促这项工作，要求各联邦机构周期性地评估各自信息和信息系统的未授权访问、信息泄露、服务中断和系统破坏所造成的风险和危害，周期性地测试信息安全措施和技术的有效性。

2006年6月，美国国土安全部正式发布了《国家基础设施保护计划》( National Infrastructure Protection Program，NIPP)。NIPP是美国国土安全框架的一个关键要素，它是建立于一系列国家战略之上，包括2002年7月发布的《国土安全战略》，2003年2月发布的《关键基础设施和重要资产物理保护的国家战略》，2003年2月发布的《保护网际空间国家战略》，以及2003年12月发布的第7号国土安全总统令。从NIPP和这一系列美国国家战略中可以看出，以风险管理框架为基础开展风险评估工作，已经成为美国等西方发达国家保障关键基础设施和重要资源，从而保护国土安全的一个核心要素和重要手段。

信息安全风险评估是信息安全保障体系建立过程中一种重要的评价方法和决策机制，在信息安全保障体系建设中具有不可替代的地位和重要作用。信息安全风险评估是信息安全保障的基础性互作，它既是明确安全需求、确定安全保障重点的科学方法和手段，又是信息安全建设和管理的重要保证。没有准确及时的风险评估，各个机构无法对其信息安全的状况做出准确的判断。

风险评估工作的目的是为国家信息化发展服务，促进信息安全保障体系的建设，提高信息系统的安全保护能力。目前，国家关键基础设施对信息系统的依赖性越来越强，因此，许多重要信息网络和重要信息系统单位开展信息安全风险评估的需求越来越迫切，一些大型应用行业在考虑信息系统建设的布局时，已经在信息安全评估、咨询和规划方面投入了实质性的资金支持。现阶段，风险评估工作的主要任务是要认清信息安全环境和状况，采取和完善安全保障措施，使其更加经济有效，并使信息安全策略保持一致性和持续性。