信息化建设中的安全预算与风险评估.docVIP

信息化建设中的安全预算与风险评估 【篇一】 风险评估是发现薄弱环节的基本方法，不仅需在系统建设之前进行，更要贯彻在信息系统从设计到运行乃至到报废的整个生命周期之中。信息安全风险评估是建立信息安全体系的基础，是信息系统安全工程的一个关键组成部分。 一个涉密网络中安装了某种（或几种）安全设备（如病毒 防护、防火墙、入侵检测、身份认证或安全审计等等）或者 制定了某项或多项）管理规章制度之后，这个网络的安全性 （机密性、完整性和可用性）达到了怎样的程度？解决多少安 全问题，遗留了多少尚未解决的安全问题？将来还有可能、 最可能发生哪些问题？ 这些问题都可以通过风险评估加以回答。大家知道。安 全必威体育官网网址建设要做到有的放矢，第一步就是要准确定位信息系 统的薄弱环节，然后才能采取有针对性的措施。 信息安全风险是指信息系统由于本身存在安全弱点，在人 为或自然的威胁下可能发生安全事件的可能性。安全风险由安 全事件发生的可能性和事件所造成的影响这两种指标来综合衡 量。信息安全管理中每个环节都可能导致不同程度的安全风险。 【篇二】 该如何应对信息安全风险呢？ 应该从以下几方面着手: 第一，应建立信息安全风险的应对战略和政策。我们应该明确政府的角色，强化信息安全风险管理的责任； 第二，建立和发展信息安全风险管理的文化； 第三，做好国家信息安全的薄弱环节识别，减少信息化系统的问题； 第四，通过有效的教育和培训，提高和强化整个社会的信息安全风险管理和安全意识能力； 第五，强化信息化相关的立法，建立有效的管理机制，以防止和化解信息安全风险； 第六，建立健全国家信息化的技术安全平台，通过安全技术保障信息系统的安全。信息安全应该是管理和技术并重才行。以前说七分管理，三分技术。有管理，没有一定的技术支持肯定是不行的，但光有技术，管理不到位肯定也是不行的; 第七，采取有效的措施，确保敏感信息和国家重要信息基础设施的安全； 第八，保障政府系统的安全。这是非常重要的，在2001年中美黑客大战中，70%～80%被“黑”的网站是政府网站； 第九，建立国家网络空间安全的危机管理系统； 第十，通过信息的共享和广泛的合作，化解信息安全风险。 　　 要应对安全风险，首先要确切掌握网络和信息系统的安全程度，分析安全威胁来自何方，安全风险有多大，风险评估就是解决这一问题的重要方法和基础性工作。 　　 系统的安全性可以通过风险大小来衡量，科学地分析系统的必威体育官网网址性、完整性、程序性方面面临的问题，发现危险的主要位置，就能在风险的预防、减少、转移、补偿和分散上做出决策，最大限度地控制和化解安全风险。实际上，我们都知道安全和效率是互相矛盾的，如何在安全和效率之间进行平衡，这是风险评估中一个非常重要的内容。 　　 网络信息系统的安全建设建立在风险评估的基础上，这是信息化建设的内在要求，系统主管部门和运营、应用单位都必须做好本系统的信息安全风险评估工作。只有在建设的初期，在规划的过程中，就运用风险评估、风险管理的手段，用户才可以避免重复建设和投资的浪费。 【篇三】 我国信息化建设的不断加速，政府、企业、学校、医院等各类组织都在积极运用IT带来的种种好处，随着各部门对信息系统不断增长的依赖性，信息系统的脆弱性日益暴露，安全问题凸现出来。各类组织对于安全问题都表现出前所未有的关注，安全预算也逐年提高，如何通过有效的手段，保证有限的安全预算发挥出最大的效果，以保证组织的信息安全，本文期待和读者一同讨论。 一、 如何看待信息化建设中的安全预算 安全预算是组织为保护其信息资产，保证自身可持续发展而投入的资金，是组织的一种预防行为。 安全预算多少合适，是不是投入得太多了？为什么投入大量资金，还是出现安全事故？每年到了年终各个组织的CIO、CSO都忙着计算安全投入的回报如何。虽然，在信息化进程中，安全问题越来越受到关注，但是信息安全事件仍然是呈现递增的趋势。从安全预算的角度究其原因：一是预算不足；二是预算不到位。 在国外，安全投入占企业基础投入的5%～20%，而在中国却很少超过2%。从风险的角度看，就是要平衡成本与风险之间的关系，用一百万美金保护三十万的资产，显然是不可接受的，但是如果资产的价值超过了一千万美金，那效益就显而易见了。经常会看到有关CIO难当的一些文章，目前用一个量化的方法来计算信息化建设对于组织战略发展的贡献确实比较难。 一年下来，组织并没有发生重大的信息安全事件，年初的安全预算可能就会被质疑投入太多了；如果发生了不可接受的安全事件，那就成了CIO的责任。安全预算到底够不够？我们可以通过宏观的情况来分析一下风险与成本的关系，每年全球因安全问题导致的网络损失已经可以用万亿美元的数量级来计算，我国也有数百亿美元的经济损失，然而安全方面的投入却不超过几十亿美元。 由此可以看出，我国整体信息化建设，安全