信息安全风险评估试点工作面面观：信息安全风险评估国家标准简述

2005年2月至2005年9月期间，国信办下发通知和《信息安全评估试点工作方案》，要求分别在银行、税务、电力等重要信息系统以及北京市、上海市、黑龙江省、云南省等地方的电子政务系统开展信息安全风险评估试点工作。 几个月来，试点单位积累了哪些经验，又发现了哪些不足，2005年12月16日，作为一次研讨性质的总结会“中国信息安全风险评估现状与展望高峰论坛”在京举行，与会的专家、学者、国家基础信息网络和重要信息系统风险评估试点单位的负责人纷纷表示，开展信息安全风险评估工作是社会发展和科技进步的必然要求，它将为推动我国信息安全保障工作的全面开展，进而为保障我国信息化建设的顺利实施产生深远的影响，但风险评估作为一种新的理念还需要人们去认同，作为一种方法论还需要人们去研究和把握，作为一种管理措施还需要主管部门大力推进。 在交流经验的过程中寻找不足之处，在不同的期待声中谋求一条共同的发展之道，作为此次大会的特别支持媒体。这是我们策划此次特别报道的初衷，同时希望通过刊登这组文章，对我国的信息安全风险评估工作，起到积极的推动作用。[编者按]     

国家信息安全风险评估工作历程

国务院信息化工作办公室网络与信息安全组（以下简称国务院信息办安全组）为落实中办发2003[27]号文件的要求，于2003年7月23日决定委托国家信息中心组建成立“信息安全风险评估课题组”，对信息安全风险评估工作的现状进行全面深入了解，提出我国开展信息安全风险评估的对策和办法，为下一步信息安全的建设和管理做准备。     

上海:信息安全风险评估的探索与实践

随着上海市信息化应用的不断深入，越来越多领域的业务实施依赖于信息系统的稳定运行，有效地保障基础设施及重要信息系统的安全，已经成为影响到经济发展、社会稳定的重大问题，尤其事关国计民生的重要系统，信息系统的不安全因素将会直接影响到市民的工作、生活。为此，就加强信息安全保障工作，上海市委、市府多次做出重要指示，要求明确具体制度、措施，加强监管力度。几年来，上海市信息化委员会在对本市单位信息系统现状调研的基础上，确定了一百多家信息安全重点责任单位及重要信息系统，并着手建立对重要信息系统的安全测评监管制度。     

信息安全风险评估的问题及对策

信息系统的安全风险，是指由来自人为的与自然的威胁，利用系统存在的脆弱性造成的安全事件发生的可能性及其可能造成的影响?而信息安全风险评估则是指依据国家有关信息技术标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学、公正的综合评估的活动过程。它要评估信息系统的脆弱     

正确认识和理解信息安全风险评估工作--在信息安全风险评估宣贯会的讲话摘要

国家网络与信息安全协调小组第五次会议研究了信息安全风险评估问题,审议通过了《关于开展信息安全风险评估工作的意见》。这是我国信息安全保障工作中的一件大事,对于提高我国信息安全保障工作水平,建设国家信息安全保障体系具有重要意义。     

浅谈信息安全风险评估在信息化建设中的作用

现代社会、大型企业对信息系统的强烈依赖已经成为信息化过程中重大问题,信息化过程中已经暴露的和潜在的信息安全问题已经成为制约信息化发展的关键问题,那么如何有效发现、控制、解决信息安全问题就成为信息化建设的重中之重,而信息安全风险评估就是信息安全工作有的放矢的基本保证措施之一,是风险管理的有机组成部分,是企业内控要求的基本内容之一。     

强化信息安全风险评估工作--当前信息安全工作的客观需要和紧迫需求

信息安全风险评估是指依据国家有关政策法规及信息技术标准，对信息系统及由其处理、传输和存储信息的保密性、完整性和可用性等安全属性进行科学，公正的综合评估的活动过程。它要评估信息系统的脆弱性，信息系统面临的威胁以及脆弱性被威胁源利用后所产生的负面影响，并根据安全事件发生的可能性和负面影响程度来识别信息系统的安全风险。     

煤矿工业互联网信息安全风险评估

针对煤矿工业互联网信息安全防护手段多应用于较小区域、难以对整体信息安全风险进行评估的问题,提出了一种基于静态和动态2个维度的煤矿工业互联网信息安全风险评估方法。该方法根据《信息安全技术网络安全等级保护基本要求》及GB/T 34679—2017《智慧矿山信息系统通用技术规范》,对煤矿信息系统已实施的安全防护条例进行特征化转换,建立各系统中安全防护要求的关联系数矩阵,进而计算出系统实际实施的安全防护条例数量;再结合威胁发生数和发生更高级风险的概率,建立安全风险评估模型,进而对煤矿工业互联网进行信息安全风险评估。测试结果表明,该方法能有效评估煤矿工业互联网信息安全状况,指导煤矿企业进行信息安全风险分析、安全防护规划设计及实施,从而降低煤矿工业互联网信息安全风险。     

信息安全等级保护和风险评估的关系研究

等级保护和风险评估的宏观联系信息安全等级保护制度作为我国信息安全保障体系建设的一项基本制度,它的总体目标是为了统一信息安全保护工作,提高我国信息安全建设的整体水平;通过充分调动国家、法人和其他组织及公民的积极性,发挥各方面的作用,达到对信息和信息系统重点保护和有效保护的目的。等级保护工作的核心是对信息安全分等级,按标准进行建设、管理和监督。     

军民共筑信息安全之“盾”——访解放军信息安全测评认证中心主任袁建军

我国的信息安全风险评估工作从2003年启动，经过三年，历经调研、标准编写和试点工作三个阶段后，终于取得了阶段性的成果，于去年9月8日在上海召开了总结大会。会议确定在总结好试点工作的基础上，今年将在全国范围推行信息安全风险评估工作。解放军信息安全测评认证中心作为军队单位，参加了对国家重点信息系统的风险评估试点工作。记者采访了该中心主任袁建军，就有关问题做了进一步了解。     

对信息安全风险评估中几个重要问题的认识

《国家信息化领导小组关于加强信息安全保障工作的意见》中,提出了要实行信息安全等级保护,并在其中强调,要重视信息安全风险评估工作。2004年1月召开的全国信息安全保障工作会议则进一步深化了对信息安全风险评估工作的要求,将其列为当前需要务必抓好的五方面工作之一,并作了明确部署,要求“开展信息安全风险评估和检查,抓紧研究制定基础信息网络和重要信息系统风险评估的管理规范,并组织力量提供技术支持。”     

黑龙江:启动信息安全风险评估工作的几点建议

信息安全风险评估是信息安全保障的基础性工作和重要环节。开展风险评估工作，是贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）的重要举措。     

风险评估:信息安全赢在起点——联想网御助力某移动公司实施全面风险评估

近年来,随着企事业单位信息化进程的飞速发展,对信息系统的依赖性日益增长,信息安全的风险也逐步加大,信息安全界多年的实践表明,风险评估是信息安全建设的     

第二季度计算机信息安全产品检验情况

公安部计算机信息系统安全产品质量监督检验中心承担计算机信息安全产品的销售许可证委托检验工作。随着技术的发展、产品的成熟和市场需求的提高，我中心对产品质量的把关也越来越严。为了促进产品质量的提高，满足信息系统安全保护的需要，对今年第二季度的产品检测情况进行总结，供信息安全产品主管部门、生产单位和用户参考。     

信息安全服务的可信资质

信息安全等级保护工作需要有咨询、监理、系统集成、测试评估、运行维护、应急响应和培训等多种多样的信息安全服务。这些服务覆盖面广，范围涉及到信息系统安全规划、建设、检测评估、运行维护等各个环节；内容丰富，既关系到信息系统的机房、用电、防火、防雷等物理环境．也关系到信息系统的硬件配置、     

第四届信息安全漏洞分析与风险评估大会(VARA 2011)征文通知

第四届信息安全漏洞分析与风险评估大会(The 4th Conference on Vulnerability Analysis and Risk Assessment,VARA2011)将于2011年10月在北京召开,会议由中国信息安全测评中心主办,清华大学软件学院协办,北京大学承办。作为国