济南市信息安全风险评估工作指南VIP免费

济南市信息安全风险评估工作指南济南市信息化领导小组办公室济南市信息产业局2007年6月前言随着我市国民经济和社会信息化进程的加快，网络与信息系统的基础性、全局性作用日益增强，国民经济和社会发展对网络和信息系统的依赖性也越来越大。网络和信息系统自身存在的缺陷、脆弱性以及面临的威胁，使信息系统的运行客观上存在着潜在风险。信息安全已经成为影响信息化发展的重大问题，引起了国家政府和社会的广泛关注和重视。《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号文件）提出“要重视信息安全风险评估工作，对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估，综合考虑网络与信息系统的重要性、涉密程度和面临的信息安全风险等因素，进行相应等级的安全建设和管理。”中央领导同志也多次就信息安全风险评估工作做出重要指示。信息系统信息安全风险评估是为了了解系统究竟面临什么风险、有多大风险，以及应该采取什么样的措施去减少、化解或规避风险，是为了解决这样一些问题：什么地方、什么时间可能出问题？会出什么问题？出问题的可能性有多大？这些问题可能产生的后果是什么？应该采取什么样的措施加以避免和弥补？它是认识和评价信息系统信息安全状况的基本方法和手段，是信息安全的基础性工作。市信息化办公室、市信息产业局结合济南市信息安全风险评估试点工作过程中的实践经验，总结形成了一套信息安全风险评估流程，以此为基础编写了《济南市信息安全风险评估工作指南》（以下简称“工作指南”）。本工作指南对信息安全风险评估的基本概念、评估方法、实施过程、项目管理和质量管理等方面作了全面的阐述。在风险评估实际工作中可以根据具体情况，对风险评估的方法、过程和工具进行适当的选择和发展，完成好信息安全风险评估工作。本工作指南是我市开展信息系统信息安全风险评估工作的指导文件，它的编制旨在使信息安全风险评估作为一项科学的方法为我市各单位所接受、理解和运用，对各单位的信息安全风险评估工作起到指导作用。目录第一章适用范围5第二章参考依据6第三章信息安全风险评估概述73.1基本概念....................................................................................................................................................73.2名词术语....................................................................................................................................................73.3风险评估基本原理..................................................................................................................................103.3.1风险评估要素关系模型.............................................................................................................103.3.2风险计算模型..............................................................................................................................11第四章风险评估原则124.1可控性原则.....................................................................................................................................124.2完整性原则.....................................................................................................................................124.3最小影响原则.................................................................................................................................124.4保密性原则.....................................................................................................................................134.5可恢复性原则.................................................................................................................................13第五章风险评估和信息系统生命周期145.1信息系统生命周期................................................