风险评估是用户的事情

摘要

随着国民经济和社会信息化进程的全面加快,网络和重要信息系统的基础性、全局性作用日益增强,由此产生的信息安全问题也越来越突出。《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号文件)分析了我国当前信息安全保障工作的基本状况,提出了加强信息安全保障工作的总体要求和主要原则,对下一步信息安全保障工作做出了全面部署,将系统安全评估作为一种重要的保障手段之一。在全国信息安全保障工作会议上,黄菊同志指出:“加强信息安全基础性工作和基础设施建设是当务之急”,并要求“抓紧研究制定基础信息网络和重要信息系统风险评估的管理规范,并组织力量提供技术支持。根据风险评估结果,进行相应等级的安全建设和管理。”信息安全风险评估,是信息安全的一项重要基础性工作,是风险管理理论和方法在信息化中的实际运用,也是等级防护思想的具体体现。目前,国内众多部门和行业都开始投入精力进行风险评估工作。可是对于许多单位而言,如何做好风险评估,风险评估实施过程中应该注意什么问题,却不是很清楚。本期CSO沙龙将和您一起探讨这方面的问题。