风险管理与信息安全风险评估（PPT44）-风险管理.ppt

风险管理与信息安全风险评估 国家信息中心 2005.12 提 纲 一：信息化风险及风险管理研究 二：信息安全风险评估贵在实践 三、试点经验宝贵 一：信息化风险及风险管理研究 随着信息化的发展，信息化的风险与风险管理问题已经成为各个国家、国际组织所普遍关注的问题。 信息化的风险管理，其中信息安全风险和保障网络空间的安全已经成为关系信息化能否健康发展的重大问题。 一、信息化风险的定义 风险指行动或者事件的结果的不确定性（uncertainty of outcome）。 信息化的风险被界定为信息化可能或者实际带来的消极威胁。 风险管理泛指评估风险、确认风险、回应风险的过程。 二、信息化风险的主要特征 全球性 传染性 复杂性 隐蔽性 三、信息化风险的内在原因 基本原因在于内因，由信息化自身的特点所决定 第一，信息化的无疆界特征； 第二，信息化的低成本特征； 第三，信息化的开放性特征； 第四，信息化的匿名性特征。 第一，自然灾害 第二，误操作和安全生产事故； 第三，病毒、蠕虫以及网络攻击； 第四，由于信任体系不完善，借助信息化手段进行欺诈； 第五，因内部因素而造成的信息、数据的修改和丢失和内部泄密； ； 第六，因外部因素造成信息、数据的泄露、篡改和丢失； 第七，安全防范措施不到位的高端技术。 五、我国信息安全风险的生成机理 第一，战略能力不足，规划不明确。 （1）缺乏项目的建设战略 （2）缺乏项目的中长期发展规划 （3）缺乏明确项目的发展步骤 （4）缺乏项目的阶段性绩效标准 第二，领导与组织能力不到位，统筹协调不力。 （1）领导对于风险管理的重视不足，忽视电子化政府项目的高风险等具体问题； （2）行政改革与创新的方向性错误； （3）组织信息化目标的错误设定，片面追求上网，忽视服务质量； （4）跨部门之信息化进程的协调问题； （5）重复建设问题 ； （6）信息化项目未能及时完成，预算超支问题； （7）信息孤岛问题 ； （8）项目难以有效评估或评测的问题 。 第三，投资管理的能力差，项目管理体系不成熟。 （1）对项目投资管理的理念认识和关注不足； （2）项目的投资基础（投资负责机构、提出候选项目并予以筛选、对投资项目的选定与实施过程的监督、捕获投资信息等）建设不完善； （3）在项目的投资过程（包括相关筛选、控制和评估标准的确立，对实施后的复查等）机制不健全； （4）在投资的过程管理中，存在薄弱环节，无法做到全流程的“无缝隙管理”； （5）在优化投资过程方面，往往无法实现项目投资的战略性成果。 第四，资金的预算和管理能力差。 （1）对信息安全投资的风险未做预测，或预测不准； （2）资金支持不足； （3）无法寻求足够的社会资金来源； （4）信息安全投资的回报难以监控和评估。 第五，人力资源不足。 （1）缺乏信息安全风险管理的人员和能力； （2）缺乏具备充足信息安全管理资格的人员； （3）培训跟不上项目的进程，培训效果差； （4）项目核心人员的流动问题。 第六，法律与政策不足。 我国目前的信息安全的法制工作发展较为缓慢； 首先，缺乏对信息化的全面立法支持，缺乏保障政府信息化的基本法律，如政府信息公开法、政府信息资源管理法。 其次，缺乏对信息安全风险的制度性规范，如信息风险手册等。 再次，原有的一些法律已不能适应信息化时代的要求，如著作权法、专利法、刑法等。 第七，保护隐私，数据安全，技术管理方面的不足。 在泄露隐私方面： （1）不当授权他人或机构滥用用户信息； （2）未遵循法律或法规制定相应的隐私和记录管理政策。 在影响数据安全方面： （1）工作人员对安全因素和措施缺乏足够认知； （2）难以解决相关安全问题； （3）病毒或黑客攻击导致系统瘫痪； （4）由于一个主要系统瘫痪导致其它系统的失灵。 六、信息安全风险的应对战略和政策 （一）明确政府的角色，强化信息安全风险管理的责任 （二）建立和发展信息安全风险管理的文化 （三）做好国家信息安全的薄弱环节识别，减少信息化系统中的问题 （四）通过有效的教育和培训提高和强化整个社会的信息安全风险管理和安全意识与能力 （五）强化信息化相关的立法，建立有效的管制机制，以防止和化解信息安全风险 （六）建立健全国家信息化的技术安全平台，通过安全技术的发展保障信息化系统的安全 （七）采取有效的措施，确保敏感性信息和国家重要信息基础设施的安全 （八）保障政府系统的安全 （九）建立国家网络空间安全的危机管理系统 （十）通过信息的共享和广泛的合作，化解信息安全风险 提 纲 一：信息化风险及风险管理研究 二：信息安全风险评估 贵在实践 三、试点经验宝贵 党中央、国务院高度重视网络与信息安全工作 中办发[2003