涉密信息系统运行阶段“三员”风险管理的探讨

摘要

涉密信息系统分级保护系列标准和规范的发布与实施,标志着我国涉密信息系统的设计与建设进入了更加科学的风险控制阶段。但在涉密信息系统投入运行后,基于风险控制的相关标准与规范缺乏,导致了当前"三员",即安全保密管理员、系统管理员、安全审计员,在实施系统风险控制方面存在着信息全面性、及时性与系统性不足的问题。本文根据涉密信息系统的特点,从信息安全风险控制角度,探讨了在涉密信息系统投入运行后,"三员"根据涉密信息系统保密管理的要求,如何有效收集与处理风险信息,控制系统风险的问题。