4.信息安全風(fēng)險評估

重視信息安全風(fēng)險評估是信息化發(fā)達國家的重要經(jīng)驗。作為風(fēng)險評估先驅(qū)者的美國等信息化發(fā)達國家越來越重視信息系統(tǒng)風(fēng)險評估工作。早在上個世紀70年代初期，美國政府就提出了風(fēng)險評估的要求，要求聯(lián)邦政府部門依據(jù)信息和信息系統(tǒng)所面臨的風(fēng)險，根據(jù)信息丟失、濫用、泄露和未授權(quán)訪問等造成損失的大小，制訂、實施和維持信息安全計劃，以保證信息和信息系統(tǒng)的適度安全。2002年頒布的< 2002聯(lián)邦信息安全管理法》對信息安全風(fēng)險評估提出了更加具體的要求，指定聯(lián)邦管理和預(yù)算辦公室( Office of Management and Budget，

OIVIB)督促這項工作，要求各聯(lián)邦機構(gòu)周期性地評估各自信息和信息系統(tǒng)的未授權(quán)訪問、信息泄露、服務(wù)中斷和系統(tǒng)破壞所造成的風(fēng)險和危害，周期性地測試信息安全措施和技術(shù)的有效性。

2006年6月，美國國土安全部正式發(fā)布了《國家基礎(chǔ)設(shè)施保護計劃》( National Infrastructure Protection Program，NIPP)。NIPP是美國國土安全框架的一個關(guān)鍵要素，它是建立于一系列國家戰(zhàn)略之上，包括2002年7月發(fā)布的《國土安全戰(zhàn)略》，2003年2月發(fā)布的《關(guān)鍵基礎(chǔ)設(shè)施和重要資產(chǎn)物理保護的國家戰(zhàn)略》，2003年2月發(fā)布的《保護網(wǎng)際空間國家戰(zhàn)略》，以及2003年12月發(fā)布的第7號國土安全總統(tǒng)令。從NIPP和這一系列美國國家戰(zhàn)略中可以看出，以風(fēng)險管理框架為基礎(chǔ)開展風(fēng)險評估工作，已經(jīng)成為美國等西方發(fā)達國家保障關(guān)鍵基礎(chǔ)設(shè)施和重要資源，從而保護國土安全的一個核心要素和重要手段。

信息安全風(fēng)險評估是信息安全保障體系建立過程中一種重要的評價方法和決策機制，在信息安全保障體系建設(shè)中具有不可替代的地位和重要作用。信息安全風(fēng)險評估是信息安全保障的基礎(chǔ)性互作，它既是明確安全需求、確定安全保障重點的科學(xué)方法和手段，又是信息安全建設(shè)和管理的重要保證。沒有準確及時的風(fēng)險評估，各個機構(gòu)無法對其信息安全的狀況做出準確的判斷。

風(fēng)險評估工作的目的是為國家信息化發(fā)展服務(wù)，促進信息安全保障體系的建設(shè)，提高信息系統(tǒng)的安全保護能力。目前，國家關(guān)鍵基礎(chǔ)設(shè)施對信息系統(tǒng)的依賴性越來越強，因此，許多重要信息網(wǎng)絡(luò)和重要信息系統(tǒng)單位開展信息安全風(fēng)險評估的需求越來越迫切，一些大型應(yīng)用行業(yè)在考慮信息系統(tǒng)建設(shè)的布局時，已經(jīng)在信息安全評估、咨詢和規(guī)劃方面投入了實質(zhì)性的資金支持。現(xiàn)階段，風(fēng)險評估工作的主要任務(wù)是要認清信息安全環(huán)境和狀況，采取和完善安全保障措施，使其更加經(jīng)濟有效，并使信息安全策略保持一致性和持續(xù)性。