风险评估概念及其基本要素
风险评估概念及其基本要素
一、风险评估概念及其基本要素信息系统的安全风险,是由来自人为的与自然的威胁利用系统存在的脆弱性造成的安全事件发生的可能性及其可能造成的影响。
信息安全风险评估(本文以下简称“风险评估”),则是指依据国家有关信息技术标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学、公正的综合评估的活动过程,它要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响,并根据安全事件发生的可能性和负面影响的程度来识别信息系统的安全风险。
信息安全是一个动态的复杂过程,它贯穿于信息资产和信息系统的整个生命周期。
信息安全的威胁来自于内部破坏、外部攻击、内外勾结进行的破坏以及自然危害。
必须按照风险管理的思想,对可能的威胁、脆弱性和需要保护的信息资源进行分析,依据风险评估的结果为信息系统选择适当的安全措施,妥善应对可能发生的风险。
信息安全风险评估要关注如下基本要素:使命:一个单位通过信息化要来实现的工作任务。
依赖度:一个单位的使命对信息系统和信息的依靠程度。
资产:通过信息化建设积累起来的信息系统、信息、生产或服务能力、人员能力和赢得的信誉等。
价值:资产的重要程度和敏感程度。
威胁:一个单位的信息资产的安全可能受到的侵害。
威胁由多种属性来刻画:威胁的主体(威胁源)、能力、资源、动机、途径、可能性和后果。
脆弱性:信息资产及其防护措施在安全方面的不足和弱点。
脆弱性也常常被称为弱点或漏洞。
风险:风险由意外事件发生的可能性及发生后可能产生的影响两种指标来衡量。
风险是在考虑事件发生的可能性及其可能造成的影响下,脆弱性被威胁所利用后所产生的实际负面影响。
风险是可能性和影响的函数,前者指威胁源利用一个潜在脆弱性的可能性,后者指不利事件对组织机构产生的影响。
残余风险:采取了安全防护措施,提高了防护能力后,仍然可能存在的风险。
安全需求:为保证单位的使命能够正常行使,在信息安全防护措施方面提出的要求。
风险评估的三个要素
风险评估的三个要素
风险评估是指对一项活动、项目或决策所面临的风险进行全面、客观、系统性评估的过程。
风险评估的核心是对风险的判断和评价,是决策者进行准确决策的基础。
在进行风险评估时,有三个重要的要素需要考虑。
1. 风险概率
风险概率是指某一风险事件发生的可能性。
确定风险事件发生的概率对于评估和管理风险至关重要。
在评估风险概率时,可以根据历史数据、统计分析和专家判断等方法进行研究和分析。
根据风险概率的不同,可以将风险划分为高概率风险、中概率风险和低概率风险,从而确定相应的风险预防和应对措施。
2. 风险影响
风险影响是指一旦风险事件发生所带来的直接或间接的损失或影响。
风险影响的评估可以从经济、环境、人员安全等多个方面进行考量。
在评估风险影响时,可以从资产价值、生产效率、声誉损失等角度进行量化或定性评估。
风险影响的大小直接决定了风险的重要程度和对决策的影响力,因此在风险评估过程中需要充分考虑风险影响的大小。
3. 风险管理措施
风险管理措施是指为降低或消除风险而采取的防范或应对措施。
在进行风险评估时,需要根据风险的性质和级别确定相应的风险管理措施。
常见的风险管理措施包括风险转移、风险缓解、风险控制、风险接受等。
选择适当的风险管理措施对于降低风险带来的不利影响和损失至关重要。
综上所述,风险评估的三个要素包括风险概率、风险影响和风险管理措施。
只有全面考虑这三个要素,才能准确评估和管理风险,提高决策的科学性和准确性。
风险评价的要素
风险评价的要素风险评价是指对特定风险进行全面评估和分析的过程,以确定其潜在的危害程度和可能发生的可能性。
在进行风险评价时,需要考虑以下要素:1. 风险识别:首先需要识别出可能存在的风险。
这包括对潜在危险的辨识和对可能导致风险的因素的识别。
通过对企业、项目或活动的全面分析,可以识别出与之相关的各种风险。
2. 风险分析:对已识别的风险进行详细分析,包括风险的特征、成因、可能的影响以及发生的概率等方面。
通过综合考虑这些因素,可以对风险进行量化和评估,从而确定其重要性和优先级。
3. 风险评估:在风险分析的基础上,对各种风险进行评估,确定其可能对企业或项目造成的潜在损失和影响。
评估的结果通常以定量或定性的方式呈现,以便更好地理解风险的严重程度。
4. 风险控制:根据风险评估的结果,制定相应的风险控制策略和措施。
这包括确定适当的防范措施、采取控制措施和建立监测机制等,以减少风险的发生概率和降低其可能带来的影响。
5. 风险应对:在风险控制的基础上,制定应对风险的计划和措施。
这包括应对风险事件发生后的紧急处理和恢复工作,以及建立应急预案和灾难恢复计划等。
6. 风险沟通:及时向相关利益相关方和决策者等传达风险评估的结果和意见。
风险沟通可以帮助相关方更好地理解风险的性质和严重程度,并共同制定应对措施和决策。
7. 风险监测:对已识别的风险进行监测和跟踪,及时更新风险评估的结果。
风险监测可以帮助及时发现风险的变化和新的风险,以便及时采取相应的措施。
8. 风险复评:根据实际情况,定期对已评估的风险进行复评。
风险复评可以帮助更新风险评估的结果,以适应环境和情况的变化,并及时调整相应的风险控制和应对策略。
9. 风险记录:记录风险评价的整个过程,包括识别、分析、评估、控制和应对等环节的信息。
风险记录可以作为参考和依据,帮助更好地管理和应对风险。
风险评价的要素包括风险识别、风险分析、风险评估、风险控制、风险应对、风险沟通、风险监测、风险复评和风险记录等。
安全风险评估六要素
安全风险评估六要素
安全风险评估的六要素包括:
1. 威胁(Threats):指对系统、网络或数据的潜在威胁,包括恶意软件、黑客攻击、自然灾害、人为错误等。
2. 脆弱性(Vulnerabilities):指系统、网络或数据存在的漏洞、弱点或不完善之处,可能被攻击者利用,造成安全漏洞。
3. 潜在损失(Potential Losses):指在系统、网络或数据受到
威胁和脆弱性的情况下,可能遭受的直接或间接损失,包括财务损失、声誉损失、业务中断等。
4. 暴露程度(Exposure):指系统、网络或数据面临威胁和脆
弱性的程度,程度越高,安全风险越大。
5. 风险程度(Risk Level):通过综合考虑威胁、脆弱性、潜
在损失和暴露程度等因素,评估安全风险的严重程度和可能性。
6. 风险管理策略(Risk Management Strategies):包括预防控制、检测控制、应急响应和恢复等安全管理措施,以减少或消除安全风险,并降低潜在损失。
风险评估概念及其基本要素
一、风险评估概念及其基本要素信息系统的安全风险,是由来自人为的与自然的威胁利用系统存在的脆弱性造成的安全事件发生的可能性及其可能造成的影响。
信息安全风险评估(本文以下简称“风险评估”),则是指依据国家有关信息技术标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学、公正的综合评估的活动过程,它要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响,并根据安全事件发生的可能性和负面影响的程度来识别信息系统的安全风险。
信息安全是一个动态的复杂过程,它贯穿于信息资产和信息系统的整个生命周期。
信息安全的威胁来自于内部破坏、外部攻击、内外勾结进行的破坏以及自然危害。
必须按照风险管理的思想,对可能的威胁、脆弱性和需要保护的信息资源进行分析,依据风险评估的结果为信息系统选择适当的安全措施,妥善应对可能发生的风险。
信息安全风险评估要关注如下基本要素:使命:一个单位通过信息化要来实现的工作任务。
依赖度:一个单位的使命对信息系统和信息的依靠程度。
资产:通过信息化建设积累起来的信息系统、信息、生产或服务能力、人员能力和赢得的信誉等。
价值:资产的重要程度和敏感程度。
威胁:一个单位的信息资产的安全可能受到的侵害。
威胁由多种属性来刻画:威胁的主体(威胁源)、能力、资源、动机、途径、可能性和后果。
脆弱性:信息资产及其防护措施在安全方面的不足和弱点。
脆弱性也常常被称为弱点或漏洞。
风险:风险由意外事件发生的可能性及发生后可能产生的影响两种指标来衡量。
风险是在考虑事件发生的可能性及其可能造成的影响下,脆弱性被威胁所利用后所产生的实际负面影响。
风险是可能性和影响的函数,前者指威胁源利用一个潜在脆弱性的可能性,后者指不利事件对组织机构产生的影响。
残余风险:采取了安全防护措施,提高了防护能力后,仍然可能存在的风险。
安全需求:为保证单位的使命能够正常行使,在信息安全防护措施方面提出的要求。
风险评估标准
风险评估标准一、引言风险评估是一种系统性的方法,用于评估和识别可能对项目、组织或者活动产生不利影响的风险。
风险评估标准是为了确保评估的一致性和可靠性而制定的一套规范和指导原则。
本文将详细介绍风险评估标准的要素和流程,并提供一个示例以匡助读者更好地理解。
二、风险评估标准的要素1. 风险定义和分类在进行风险评估之前,需要明确定义风险的概念,并对风险进行合理的分类。
例如,可以将风险分为战略风险、操作风险、市场风险等。
这样可以更好地理解和管理不同类型的风险。
2. 风险评估方法和工具风险评估需要使用一些方法和工具来采集和分析相关数据。
常用的方法包括概率分析、影响分析、故障模式和影响分析等。
选择适当的方法和工具对于评估的准确性和可靠性至关重要。
3. 风险评估指标为了对风险进行评估,需要制定一些指标来衡量风险的程度和影响。
常用的指标包括风险概率、风险影响程度、风险优先级等。
这些指标可以匡助评估人员更好地理解和比较不同风险的重要性。
4. 风险评估流程风险评估需要按照一定的流程进行,以确保评估的全面性和一致性。
普通包括以下几个步骤:确定评估的范围和目标、采集相关数据、分析和评估风险、确定风险优先级、制定风险应对策略等。
每一个步骤都需要有明确的指导原则和操作规程。
三、风险评估标准的流程以下是一个示例的风险评估标准流程,以匡助读者更好地理解和应用风险评估标准。
1. 确定评估的范围和目标在开始风险评估之前,需要明确评估的范围和目标。
例如,评估某个项目的风险,目标可能是确定项目的关键风险和制定相应的风险管理计划。
2. 采集相关数据采集相关数据是风险评估的关键步骤之一。
可以通过文献研究、专家访谈、数据分析等方式采集必要的信息。
例如,可以采集项目的历史数据、行业统计数据、专家意见等。
3. 分析和评估风险在采集到足够的数据后,需要对风险进行分析和评估。
可以使用概率分析、影响分析等方法来评估风险的发生概率和影响程度。
评估的结果可以用数值或者等级来表示。
审计中风险评估的名词解释
审计中风险评估的名词解释在审计领域中,风险评估是一项至关重要的过程。
它帮助审计师们确定与被审计对象相关的风险,并制定相应的对策来减少潜在的风险影响。
本文将对审计中风险评估的概念进行解释,并探讨其在实践中的应用。
一、风险评估的概念和目的风险评估,顾名思义,是对风险进行评估和分析的过程。
在审计中,风险评估主要是指对被审计单位或项目存在的潜在风险进行详细的分析和评估。
通过风险评估,审计师们能够识别关键的风险领域,并为审核计划和方法提供指导。
其目的是确保审计能够全面、准确地揭示风险,并制定相应的风险治理策略。
二、风险评估的方法和工具为了进行有效的风险评估,审计师们需要采用一系列方法和工具。
首先,审计师们可以通过收集、整理和分析数据来识别可能存在的风险。
这些数据可以来自内部和外部的信息源,包括财务报表、经营情况、行业趋势等。
其次,审计师们可以利用风险评估工具,如风险矩阵、风险指标和概率分析等,来对风险进行量化和衡量。
最后,审计师们还可以通过专家咨询、小组讨论和经验分享等方式来加强对风险评估的可靠性和准确性。
三、风险评估的关键要素在进行风险评估时,以下几个关键要素需要特别关注。
首先,审计师们应该明确风险的性质和特征。
不同类型的风险可能会导致不同的影响和后果,因此,审计师们需要理解并分析每一种风险的具体特点。
其次,审计师们需要确定风险发生的可能性。
通过对历史数据的分析和对当前环境的判断,审计师们可以较为准确地评估风险发生的概率。
最后,审计师们还需要评估风险的影响程度。
这涉及到对风险后果的估计和评价,以确定风险对审计目标的威胁程度。
四、风险评估的应用案例为了更好地理解风险评估的应用,我们可以以一个实际案例为例进行说明。
假设一个审计师正在对某大型制造企业进行财务审计。
在风险评估过程中,审计师发现该企业存在潜在的供应链风险。
该企业依赖少数供应商提供关键产品,而这些供应商存在财务问题和交付延迟的风险。
为了评估这个风险,审计师可以收集供应商的财务报表、供货历史记录以及市场反馈等信息进行分析。
风险评估标准
风险评估标准一、引言风险评估是指对特定活动、项目或者决策可能面临的风险进行系统性评估和分析的过程。
风险评估标准是用来衡量和评价风险的指标和方法。
本文旨在介绍风险评估标准的基本要素和常见方法,以及如何根据不同情境制定适合的风险评估标准。
二、风险评估标准的基本要素1. 风险定义和分类风险定义是指对风险的概念和内涵进行明确和界定。
常见的风险定义包括“不确定性的事件”、“可能发生的损失”等。
风险分类是指将风险按照不同的特征和属性进行划分和分类,常见的风险分类包括战略风险、操作风险、市场风险等。
2. 风险评估指标风险评估指标是用来衡量和评价风险大小和程度的指标。
常见的风险评估指标包括风险概率、风险影响、风险严重性等。
风险概率是指风险事件发生的可能性,可以用百分比或者概率值表示。
风险影响是指风险事件发生时可能带来的损失或者影响,可以用金钱、时间、资源等指标进行衡量。
风险严重性是综合考虑风险概率和风险影响的指标,用来评估风险的严重程度。
3. 风险评估方法风险评估方法是指用来进行风险评估的具体方法和技术。
常见的风险评估方法包括定性评估和定量评估。
定性评估是基于专家判断和经验进行的主观评估,通常用文字描述和评估矩阵来表示风险级别。
定量评估是基于数据和统计分析进行的客观评估,通常使用概率统计模型和风险摹拟方法来计算风险值和风险分布。
三、风险评估标准的制定方法1. 确定评估目标和范围在制定风险评估标准之前,需要明确评估的目标和范围。
评估目标是指评估的目的和要达到的效果,例如确定风险优先级、制定风险管理策略等。
评估范围是指评估的对象和涉及的方面,例如项目风险、组织风险、市场风险等。
2. 采集和整理相关数据在制定风险评估标准之前,需要采集和整理相关的数据和信息。
这些数据可以包括历史数据、专家意见、市场研究报告等。
通过对这些数据进行分析和整理,可以更好地了解风险的特征和趋势。
3. 制定评估指标和权重根据评估目标和范围,可以制定适合的评估指标和权重。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
一、风险评估概念及其基本要素信息系统的安全风险,是由来自人为的与自然的威胁利用系统存在的脆弱性造成的安全事件发生的可能性及其可能造成的影响。
信息安全风险评估(本文以下简称“风险评估”),则是指依据国家有关信息技术标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学、公正的综合评估的活动过程,它要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响,并根据安全事件发生的可能性和负面影响的程度来识别信息系统的安全风险。
信息安全是一个动态的复杂过程,它贯穿于信息资产和信息系统的整个生命周期。
信息安全的威胁来自于内部破坏、外部攻击、内外勾结进行的破坏以及自然危害。
必须按照风险管理的思想,对可能的威胁、脆弱性和需要保护的信息资源进行分析,依据风险评估的结果为信息系统选择适当的安全措施,妥善应对可能发生的风险。
信息安全风险评估要关注如下基本要素:使命:一个单位通过信息化要来实现的工作任务。
依赖度:一个单位的使命对信息系统和信息的依靠程度。
资产:通过信息化建设积累起来的信息系统、信息、生产或服务能力、人员能力和赢得的信誉等。
价值:资产的重要程度和敏感程度。
威胁:一个单位的信息资产的安全可能受到的侵害。
威胁由多种属性来刻画:威胁的主体(威胁源)、能力、资源、动机、途径、可能性和后果。
脆弱性:信息资产及其防护措施在安全方面的不足和弱点。
脆弱性也常常被称为弱点或漏洞。
风险:风险由意外事件发生的可能性及发生后可能产生的影响两种指标来衡量。
风险是在考虑事件发生的可能性及其可能造成的影响下,脆弱性被威胁所利用后所产生的实际负面影响。
风险是可能性和影响的函数,前者指威胁源利用一个潜在脆弱性的可能性,后者指不利事件对组织机构产生的影响。
残余风险:采取了安全防护措施,提高了防护能力后,仍然可能存在的风险。
安全需求:为保证单位的使命能够正常行使,在信息安全防护措施方面提出的要求。
安全防护措施:对付威胁,减少脆弱性,保护资产,限制意外事件的影响,检测、响应意外事件,促进灾难恢复和打击信息犯罪而实施的各种实践、规程和机制的总称。
二、风险评估工作流程、理论和工具风险评估一般遵循如下工作流程:步骤1:体系特征描述步骤2:识别威胁步骤3:识别脆弱性步骤4:分析现有安全防护措施步骤5:确定可能性步骤6:分析影响步骤7:确定风险步骤8:建议安全防护措施步骤9:记录结果上述工作流程是一个大致应当遵循和不断重复循环的过程。
但是在实践中,基于不同目的和条件,在不同阶段所进行的风险评估工作,也可简化或者充实其中的某些步骤。
风险评估理论研究和工具开发应当服务于信息安全保障体系建设的总体目标。
当前,国内外提出了一些广义的、传统的风险评估理论,以及一些专门针对信息系统安全的风险评估方法。
从计算方法来区分,有定性的方法、定量的方法和部分定量的方法。
从实施手段来区分,有基于“树”的技术、动态系统的技术等。
目前存在的信息安全评估工具大体可以分成以下几类:漏洞扫描工具;入侵检测系统(IDS);渗透性测试工具;主机安全性审计工具;安全管理评价系统;风险综合分析系统;评估支撑环境工具等等。
综观这些理论和工具的现状,存在的问题是:尚缺乏模型化、形式化描述和科学证明的深度;一般化的广义的理论如何用于风险评估;定性,定量的理论方法如何更加有效;工具运用的结果如何能够反映实质,有效测度,准确无误;工具的使用如何能够综合协调等等。
三、风险评估角色、责任和模式分析信息系统风险评估的参与角色一般有主管机关、信息系统拥有者、信息系统承建者、信息系统安全评估服务机构、信息系统的关联者(即因信息系统互联、信息交换和共享、系统采购等行为与该系统发生关联的机构)。
他们在信息系统安全风险评估中的责任如表1所示:表1 风险评估中的角色和责任角色责任国家信息安全主管机关制定信息安全风险评估的政策、法规和标准督促、检查和指导业务主管机关提出、制定并批准本部门的信息安全风险管理策略领导和组织本部门内的信息系统安全评估工作基于本部门内信息系统的特征以及风险评估的结果,判断信息系统残余风险是否可接受,并确定是否批准信息系统投入运行检查信息系统运行中产生的安全状态报告定期或不定期地开展新的信息安全风险评估工作信息系统拥有者制定安全计划,报上级审批组织实施信息系统自评估工作配合检查评估或委托评估工作,并提供必要的文档等资源向主管机关提出新一轮风险评估的建议改善信息安全防护措施,控制信息安全风险信息系统承建者根据对信息系统建设方案的风险评估结果,修正安全方案,使安全方案成本合理、积极有效,在方案中有效地控制风险规范建设,减少在建设阶段引入的新风险确保安全组件产品得到了相关机构的认证信息系统安全评估机构提供独立的信息系统安全风险评估对信息系统中的安全防护措施进行评估,以判断(1)这些安全防护措施在特定运行环境中的有效性;(2)实现了这些措施后系统中存在的残余风险提出调整建议,以减少或根除信息系统中的脆弱性,有效对抗安全威胁,控制风险保护风险评估中获得的敏感信息,防止被无关人员和单位获得信息系统的关联机构遵守安全策略、法规、合同等涉及信息系统交互行为的安全要求,减少信息安全风险协助风险评估机构确定评估边界在风险评估中提供必要的资源和资料国内外现存的风险评估模式大体有自评估、检查评估与委托评估几种类型,后两种类型也可称为他评估。
这种分类主要根据评估方与被评估方的关系,他们和信息资产的关系。
在现阶段,不同模式各有优点和缺陷。
自评估是信息系统拥有者依靠自身力量,对自有的信息系统进行的风险评估活动。
自评估有利于保密;有利于发挥行业和部门内的人员的业务特长;有利于降低风险评估的费用;有利于提高本单位的风险评估能力与信息安全认识。
但是,如果没有统一的规范和要求,在缺乏安全风险评估专业人才的情况下,自评估的结果可能不深入,不规范,不到位,也可能会存在某些不利的干预。
为了弥补这些缺陷,可以用发挥专家的指导作用或委托专业评估组织参与部分工作的方式加以解决。
检查评估则由信息安全主管机关或业务主管机关发起,旨在依据已经颁布的法规或标准进行检查评估。
这是一种典型的他评估,需要被评估单位的配合。
检查评估是通过行政手段加强信息安全的重要措施。
这种模式最具权威性。
但是,通常间隔时间较长,一般是抽样进行,难于贯穿信息系统的生命周期。
委托评估是指信息系统使用单位委托具有风险评估能力的专业评估机构实施的评估活动。
它兼具自评估和他评估的特点。
委托评估一般过程较为规范,评估结果较为客观,置信度较高。
但评估费用较高,且可能会难以深入了解行业应用服务中的安全风险。
需着重指出,由于风险评估中必然会接触到被评估单位的敏感情况,且评估结果本身也属于敏感信息,因此委托评估易导致新的风险。
四、风险评估与等级保护、认证认可和风险管理的关系1994年《中华人民共和国计算机信息系统安全保护条例》中正式提出了实施等级保护的要求。
27号文件强调了这一重要的信息安全保障的基础工作。
等级保护强调了信息系统应实现相应级别的安全性。
信息系统安全级别的确定、安全需求的导出、安全保障措施的选择、安全状态的检查,无一不需要贯彻风险评估的思想和风险评估工作的支持。
风险评估的结果也应当与信息系统的等级建立与保护紧密结合。
信息系统安全认证认可是国际上采用的信息系统安全评估与管理模式。
由于实际运行中的信息系统与一般的产品不同,不具有流通性,对信息系统安全的认证是指运用技术和管理检查手段来测试、分析、评价信息系统的安全保障措施是否到位。
信息安全产品的认证是信息系统安全认证的前提和基础,但不能代替对信息系统安全的认证。
在风险评估中,认可是对评估结果的批准,是单位的管理层或上级主管机关依据安全认证的结果,判断信息系统中存在的残余风险是否可以接受,从而决定是否批准信息系统投入建设或运行的过程。
这个认可与对信息安全产品的测评机构资质的认可是不同的。
美国政府已经认识到了认证认可概念的多样性,明确提出了要区分安全认可与组织认可这两类概念。
风险管理是安全管理的重要组成部分。
它包括:风险评估、风险控制以及根据风险评估结果对信息系统运行中的相关事项做出决策。
风险评估是风险管理的重要组成部分,没有风险评估,风险管理就会缺乏决策行动的依据和方向。
五、我国风险评估的现状和问题目前,就信息安全保障的主管工作而言,在保密和密码方面,由于有优良的工作传统,思想明确,技术规范相对齐全,工作力度比较强,到位情况比较好。
在计算机网络安全方面,经过二十多年的探索准备以及对犯罪案件和安全事件的侦破处理,积累了经验和知识,组织制定了一系列的技术标准,正在为实施计算机信息系统安全的等级保护制度进行试点和政策性文件的准备。
国家有关部门建立的测评认证机构进行了大量的安全产品的功能评测,并逐步向安全产品的性能评测、安全性评测方向发展。
风险评估也逐步作为系统安全评估的一个环节,纳入其中。
但保密管理、密码管理、计算机网络信息安全管理、产品测评等工作的协调、协同还有待加强。
我国各个部门和行业对风险评估的认识和开展的情况是不平衡的,可分为以下几类:一是有认识、有行动、有措施、有效果;二是有认识、有行动但措施不当;三是有认识、无行动、无措施;四是无认识、无行动、无措施。
在信息化依赖程度较高的行业和部门中,信息化手段已经成为其生产第一线上不可或缺的基础设施。
在安全事件的驱动下,也有针对性地进行了一些风险评估工作。
大多数单位还是外聘信息安全企业和本单位的人员结合开展风险评估工作。
在信息化依赖程度较低的行业和部门中,一般对信息安全的内涵和外延、信息安全保障的技术和管理涉足不深,认识模糊,风险概念不强,有的处于计划进行风险评估的状态,有的还根本没有提上议事日程。
一批国内信息安全企业开始对客户提供信息系统安全评估服务,并且承担了一些行业单位的系统安全评估工作。
一些外资企业已经涉足我国的信息系统安全评估工作,他们带来了国外风险评估的理念和标准,宣传了风险评估,培养了一批人才,其中一些骨干已经回流到国内安全企业。
但是需要注意的是,外资企业介入国家关键部门的风险评估也会带来一些风险。
总的来讲,在重视风险评估的单位中,“安全事件驱动”是一个重要原因。
除此而外,信息化程度的不同以及对信息化依赖程度的不同也决定了对风险评估的重视程度和工作程度的不同。
但是,仍有不少单位虽然也存在潜在的安全事件和较高的信息化程度,但在风险评估问题上,却还处于起步或将要起步的阶段。
归纳起来,我国在风险评估方面仍然存在以下问题:1、风险评估的研究积累不足;2、缺乏风险评估的规范化标准;3、熟悉和有能力进行风险评估的专业技术和管理人才匮乏;4、风险评估的角色和责任混乱;5、风险评估实施不当会导致新的风险。