信息化建设中的安全预算与风险评估信息化建设中的安全预算与风险评估 【篇一】 风险评估是发现薄弱环节的基本方法,不仅需在系统建设之前进行,更要贯彻在信息系统从设计到运行乃至到报废的整个生命周期之中。信息安全风险评估是建立信息安全体系的基础,是信息系统安全工程的一个关键组成部分。 一个涉密网络中安装了某种(或几种)安全设备(如病毒 防护、防火墙、入侵检测、身份认证或安全审计等等)或者 制定了某项或多项)管理规章制度之后,这个网络的安全性 (机密性、完整性和可用性)达到了怎样的程度?解决多少安 全问题,遗留了多少尚未解决的安全问题?将来还有可能、 最可能发生哪些问题? 这些问题都可以通过风险评估加以回答。大家知道。安 全保密建设要做到有的放矢,第一步就是要准确定位信息系 统的薄弱环节,然后才能实行有针对性的措施。 信息安全风险是指信息系统由于本身存在安全弱点,在人 为或自然的威胁下可能发生安全事件的可能性。安全风险由安 全事件发生的可能性和事件所造成的影响这两种指标来综合衡 量。信息安全管理中每个环节都可能导致不同程度的安全风险。 【篇二】 该如何应对信息安全风险呢? 应该从以下几方面着手: 第一,应建立信息安全风险的应对战略和政策。我们应该明确政府的角色,强化信息安全风险管理的责任; 第二,建立和进展信息安全风险管理的文化; 第三,做好国家信息安全的薄弱环节识别,减少信息化系统的问题; 第四,通过有效的教育和培训,提高和强化整个社会的信息安全风险管理和安全意识能力; 第五,强化信息化相关的立法,建立有效的管理机制,以防止和化解信息安全风险; 第六,建立健全国家信息化的技术安全平台,通过安全技术保障信息系统的安全。信息安全应该是管理和技术并重才行。以前说七分管理,三分技术。有管理,没有一定的技术支持肯定是不行的,但光有技术,管理不到位肯定也是不行的; 第七,实行有效的措施,确保敏感信息和国家重要信息基础设施的安全; 第八,保障政府系统的安全。这是非常重要的,在 2001 年中美黑客大战中,70%~80%被“黑”的网站是政府网站; 第九,建立国家网络空间安全的危机管理系统; 第十,通过信息的共享和广泛的合作,化解信息安全风险。 要应对安全风险,首先要确切掌握网络和信息系统的安全程度,分析安全威胁来自何方,安全风险有多大,风险评估就是解决这一问题的重要方法和基础性工作。 系统的安全性...
