7月20日,中国南方电网有限责任公司在广州召开了信息安全风险评估培训班,此举旨在帮助全公司建立科学系统的信息安全风险评估制度,开展企业风险评估。促成南方电网开展企业风险评估工作的外因,则是国务院信息办《关于开展信息安全风险评估工作的意见》、《信息安全风险评估指南》等重要文件。一批关系国计民生的重要公用事业企业积极跟进此要求,意义深远。
作为信息安全业界的热门话题,风险评估已有多年。而将风险评估从务虚走向务实,也就是最近一年多的事情。2005年,国务院信息办在部分地区和行业组织了信息安全风险评估试点。2005年12月16日,国信办正式通过了《关于开展信息安全风险评估的若干意见》,信息安全风险评估工作由此得以在全国范围内逐渐展开,并选择在重要基础信息网络和重要信息系统率先推行信息安全风险评估工作。
目前,风险评估工作遵循“谁主管谁负责、谁运营谁负责”的原则,并采取“以自评估为主,自评估与检查评估相互结合、互为补充”的方式展开。
国务院信息化办公室专家组成员曲成义介绍,他近来去考察过一些企业的信息安全状况,总的感觉就是,很多企业对安全比较重视,管理也还比较严,在技术层面,也设置了常规的系统安全机制,防毒、防火墙、入侵检测等都很到位,但是,深层次的安全隐患依然普遍存在:内控机制脆弱、存在高危漏洞、对信息安全域的划分和有效控制还不够科学、企业对风险的自评估能力很弱,特别是对重要的信息系统,自评估能力都比较弱。再就是,灾难恢复机制不到位。
面对如此严峻的信息系统安全态势,引入信息安全风险评估制度,构建完整的信息安全保障体系,迫在眉睫。曲成义介绍,风险评估的流程主要包括:对企业的数字资产进行识别,对存在的威胁和脆弱性进行识别,最后要做出量化的风险评估,根本风险评估的标准,调整企业的信息安全对策。信息安全保障体系的目标则是确保企业具备四种能力:信息安全防护能力、隐患的发现能力、网络的应急反应能力、信息的对抗能力。
预计2006年企业信息安全风险评估工作将在更大范围展开。很显然,信息安全风险评估是提升信息安全体系强度的重要保证;也很显然,要使风险评估全面落地,有两件事不得不做:一是大张旗鼓地营造企业开展信息安全风险评估氛围,强化其意识和意愿;二是必须从一开始就注重建立健全风险评估体系,规范风险评估咨询服务。