互联网新技术新业务信息安全评估实践方法探讨

龙源期刊网 https://www.360docs.net/doc/016086760.html,

作者：杨扬

来源：《经营管理者·中旬刊》2016年第12期

摘要：随着IPv6、三网融合、云计算、移动互联网和物联网等新计术的引移入、以及互联网业务的蓬勃发展，为促进互联网业务健康有序发展，维护国家安全和社会稳定，保障用户合法权益，加强互联网新技术新业务安全管理，工信部在2011年下发了《互联网新技术新业务信息安全评估管理办法（试行）》，各运营商也随之下发了各自的管理办法，也做了细化的明确要求。本文着重探讨对于“互联网新技术新业务信息安全评估”的一些理解和实践的方法。

关键词：电力建设信息化管理

一、引言

随着安全服务市场的不断演变，在单纯的安全技术评估、安全加固的基础上，更希望能够通过安全建设保障其业务的持续、顺畅运行，保障其业务发展战略的实现。我们通过在信息安全评估中不断的探索，落实“以业务为中心、风险为导向”的评估思想，建立和推动信息安全评估理论、方法、操作流程和作业规范的完善和提升，彰显信息安全评估对保障客户业务顺畅运行的意义，提升安全服务的工作绩效以及安全服务的层次和水平。

二、互联网新技术新业务信息安全评估内容解读

1.互联网新技术新业务信息安全评估的主要内容。根据工信部与三大运营商对互联网新技术新业务信息安全评估的要求，评估内容主要包括：与业务相关的网络架构安全、设备安全、平台安全、业务流程安全、内容安全、业务数据安全、系统运维及人员管理安全等方面。

2.业务信息安全评估与“传统”安全评估的对比。虽然安全风险评估基本都按照了

ISO13335-2中的方法来操作，但是我们通过对业务信息安全评估的内容和“传统”安全评估内容对比不难看出，“传统”安全评估主要集中在网络、系统和应用软件层，且每层的评估比较孤立，很难全面的反应业务的主要风险。“以业务为中心、风险为导向”的业务系统安全评估能够与客户的业务密切结合，风险评估结果和安全建议能够与客户的业务发展战略相一致，最终做到促进和保障业务战略的实现。

三、互联网新技术新业务信息安全评估主要方法

1.主要思路和理论。