首 页 |   |   |   |   |   |   |   |   |   |   |   |   |   |  
基于安全风险管理 构建安全保障体系
 
   

    

    随着经济社会信息化程度的飞速发展,人们对信息的依赖程度越来越高,信息系统所面临的信息安全问题与威胁与日俱增,在信息安全风险管理基础上建立信息安全保障战略成为目前亟需解决的问题。信息安全风险管理成为当今信息安全保障工作的主流范式,也是全球信息安全工作的热点之一 。

    2007年1月15日,“首届信息安全风险管理高峰论坛”在北京世纪金源大饭店召开。会议的主题是共同研讨信息安全风险管理在2007年的趋势动态,培养信息安全风险管理意识,促进信息安全风险管理工作的开展。

    此次论坛由国家信息中心和启明星辰公司主办。来自政府信息安全主管部门以及电信、金融、能源等行业信息化主管部门的150余位嘉宾就信息安全风险管理发展概况、信息安全风险管理的最佳实践、如何促进信息安全风险管理工作的开展等问题展开了热烈的研讨。

    国家信息中心常务副主任王长胜出席并致词,国务院信息化工作办公室网络与信息安全组熊四皓处长,中国信息安全产品测评认证中心名誉主任、中国信息产业商会信息安全产业分会理事长吴世忠,公安部公共信息网络安全监察局郭启全处长、国信天辰公司总经理刘恒以及IBM、挪威船级社DNV的代表分别作了精彩演讲。  国家信息中心常务副主任王长胜首先致词说, 2003年国家信息化领导小组《关于加强信息安全保障工作的意见》要求坚持“积极防御,综合防范”方针,全面提高信息安全防护能力,重点保障基础信息网络和重要信息的安全,创建安全健康的网络环境,保障和促进信息化发展,保护公众利益,维护国家安全。 三年来,我国信息安全管理工作发展十分迅速,信息安全保护、风险评估、安全管理体系、安全保障评价体系的研究和建设工作受到前所未有的重视。ISO27001认证,信息安全管理工作已经在国内很多大型企业相继展开,这些都为我国不断加强和改进信息安全风险管理工作创造了良好的条件。我们期望通过本届论坛,能够使大家更好地了解信息安全风险管理的理念和内涵,更好地把握信息风险管理的趋势和动态,共享国际信息安全管理方面的最佳成果,力争在我们的共同努力下,把我国的信息安全风险管理工作扎扎实实地向前推进一步。

    国务院信息化工作办公室网络与信息安全组熊四皓处长在讲话中指出,从理论方面说,任何事物都不存在绝对的安全,风险总是客观存在的,关键在于如何化解和规避风险,信息安全也是一样。信息安全保障工作本质上来讲,也就是风险管理工作,要做好网络与信息系统的风险管理工作,科学地开展风险评估工作是基础。我们现在推进的信息安全等级保护制度和风险评估工作,就是落实中央关于实施风险管理要求的具体体现。实践已经表明,网络信息系统风险可以被发现、被认识,并且可以加以管理,利用风险评估的理论和方法,科学分析信息和信息系统的机密性、完整性、可用性等方面面临的风险,综合平衡风险大小和管理风险所付出的代价,在风险预防、风险控制、风险的转型、风险的补偿、风险分散等做出合理的选择,这就是我们所说的风险管理。今年,国务院信息办将根据国家网络安全与信息安全协调小组关于开展风险评估意见提出的要求,用三年左右的时间,对国家基础信息网络和重要信息系统普遍开展风险评估工作,继续积极推进信息安全风险评估工作的深入开展。 

    中国信息安全产品测评认证中心名誉主任、中国信息产业商会信息安全产业分会理事长吴世忠在论坛上作了《信息安全风险管理的动态与趋势》的主题演讲。他介绍了国际信息安全风险管理动态和国内信息安全风险评估情况,并对我国信息安全风险管理作了展望。他说,确立风险意识的文化、对风险进行现实的评估、确保风险承担者分担风险、将风险管理纳入日常工作过程,已成为风险管理的四大核心内容;风险管理虽然还不能说是一门精确的科学,但它却是一门富于高度不可预见性的艺术。在对我国的信息安全风险管理进行展望时,他说,2006年是信息安全风险评估的关键性转折期,2007年将进入新的发展时期。我们要从以下五个方面做好信息安全风险管理工作:依靠创新,解决好关键技术问题;结合实际,解决好标准选择问题;面向实践,解决好评估工具问题;服务决策,解决好评估效用问题;发展产业,解决好持续发展问题。他最后强调指出,我国的信息安全保障体系建设基本上遵循风险管理的安全范式,“安全、可靠、可控”是其基本内涵;可靠的风险分析、可用的控制措施、可行的效用测评是构建国家信息安全保障体系的基础;信息安全风险评估正进入一个蓬勃发展的黄金时期,只要机会把握得当,可望成为信息安全产业的新的增长点,希望越来越多的企业参与到这项工作中来。

    公安部公共信息网络安全监察局郭启全处长、北京国信天辰公司总经理刘恒博士、IBM中国区经理田成、挪威船级社DNV的代表分别就《等级保护与信息安全风险管理》,《专业信息安全服务战略》,《IT安全风险管理与内控实践》以及《企业信息安全风险管理实践》等专题进行了演讲。与会代表祝愿国内的信息安全风险管理工作在国家主管部门、各行业信息化主管部门、专业安全服务商的共同参与下获得蓬勃发展。


 

 
 
联系我们 | 投稿栏 | 意见栏 | 招聘信息 | 站点地图
版权所有©2005 ,中国信息安全测评中心
北京市海淀区上地西路8号院1号楼 Tel:010-82341118 或 010-82341188 Fax:010-82341100
测评服务直拨电话 Tel:010-82341592    E-mail: service@itsec.gov.cn
 
通知:关于第二届信息安全漏洞分析与风险评估会议(VARA 2009)注册的通知