我国制定信息安全风险评估标准

发布时间：2020-01-14 20:08:03 阅读：次来源：液罐车厂家

我国已经制定完成信息安全风险评估的国家标准—《信息安全风险评估指南》。

经过二年多的努力,我国信息安全风险评估国家标准《信息安全风险评估指南》已完成标准文稿编制工作，并由国务院信息办组织, 2005年在北京、上海、黑龙江、云南、人民银行、国家税务总局、国家信息中心与国家电力总公司开展了验证《信息安全风险评估指南》的可行性与可用性的试点工作，如今，《指南》正上报国家标准管理部门批准。

《指南》规定了信息安全风险评估的工作流程、评估内容、评估方法和风险判断准则，适用于信息系统的使用单位进行自我风险评估，以及风险评估机构对信息系统进行独立的风险评估。《信息安全风险评估指南》分为两个部分：第一部分：主体部分。主要介绍风险评估的定义、风险评估的模型以及风险评估的实施过程。第二部分：附录部分。包括信息安全风险评估的方法、工具介绍和实施案例。目的是使用户了解到风险评估方法的多样性和灵活性。

2005年12月16日，国家网络与信息安全协调小组正式通过了《关于开展信息安全风险评估的若干意见》，标志着我国将开始在全国范围内推进信息安全风险评估工作。今年3月，国家计划在重要基础信息网络和重要信息系统开始推行信息安全风险评估工作。

《指南》实施后，开展信息安全风险评估有了依据。另外，可随时掌握系统的安全状态，为及时采取有针对性的应对措施提供依据。《指南》对被评估系统的资产、威胁和脆弱性给出了具体的定级依据,。

最后，可提高信息安全管理工作水平。帮助系统管理者认清信息安全环境、信息安全状况，有助于达成共识，明确责任，采取或完善安全保障措施，使其更加经济有效，并使信息安全策略保持一致性和持续性。

当前，国家关键基础设施对信息系统的依赖性，以及信息系统间的互依赖性越来越强，信息资源越来越复杂，因此，许多重要信息网络和重要信息系统单位对进行信息安全风险评估的需求越来越迫切,一些大的应用行业在考虑信息系统建设的布局时，已经在信息安全评估、咨询和规划方面投入了实质性的资金支持。全国范围内的大规模推广将使市场需求大幅提升。

在信息安全风险评估过程中，要评估的部门会委托一些具有一定资质的信息安全风险评估公司来做除最核心部分以外的信息安全风险评估工作。在这方面专业的信息安全公司都会担当信息安全风险评估的重要角色。