1.2.3信息系統(tǒng)安全保障評估框架

1.相關(guān)概念和關(guān)系

信息系統(tǒng)是用于采集、處理、存儲、傳輸、分發(fā)和部署信息的整個基礎(chǔ)設(shè)施、組織結(jié)構(gòu)、機構(gòu)人員和組件的總和。隨著當(dāng)前社會信息化程度的不斷提高，各類信息系統(tǒng)越來越成為其所從屬的組織機構(gòu)生存和發(fā)展的關(guān)鍵因素，信息系統(tǒng)的安全風(fēng)險也成為組織風(fēng)險的一部分。同時，信息系統(tǒng)受來自于組織內(nèi)部與外部環(huán)境的約束，信息系統(tǒng)的安全保障除了要充分分析信息系統(tǒng)本身的技術(shù)、業(yè)務(wù)、管理等特性，還要考慮這些約束條件所產(chǎn)生的要求。為了保障組織機構(gòu)完成使命，系統(tǒng)安全管理人員必須針對信息系統(tǒng)面臨的各種各樣的風(fēng)險制定相應(yīng)的策略。

信息系統(tǒng)安全風(fēng)險是具體的風(fēng)險，產(chǎn)生風(fēng)險的因素主要有信息系統(tǒng)自身存在的漏洞和來自系統(tǒng)外部的威脅。信息系統(tǒng)運行環(huán)境存在特定威脅動機的威脅源。使用各種攻擊方法，利用信息系統(tǒng)運行環(huán)境中的各種漏洞，對信息系統(tǒng)造成相應(yīng)的風(fēng)險，由此才會產(chǎn)生信息安全事件和問題。

信息系統(tǒng)安全保障是在信息系統(tǒng)的整個生命周期中，通過對信息系統(tǒng)的風(fēng)險分析，制定并執(zhí)行相應(yīng)的安全保障策略，從技術(shù)、管理、工程和人員等方面提出信息安全保障要求，確保信息系統(tǒng)的保密性、完整性和可用性，把安全風(fēng)險到可接受的程度，從而保障系統(tǒng)能夠順利實現(xiàn)組織機構(gòu)的使命。

信息系統(tǒng)安全保障工作就是針對信息系統(tǒng)在運行環(huán)境中所面臨的各種風(fēng)險，制定信息安全保障策略體系，在策略指導(dǎo)下，設(shè)計并實現(xiàn)信息安全保障架構(gòu)或模型，采取技術(shù)、管理等安全保障措施，將風(fēng)險減少至預(yù)定可接受的程度，從而保障其使命要求。策略體系是組織機構(gòu)在對風(fēng)險i資產(chǎn)和使命綜合理解的基礎(chǔ)上所做出的指導(dǎo)文件。策略體系的制定，反映了組織機構(gòu)對信息系統(tǒng)安全保障及其目標(biāo)的理解，它的制定和貫徹執(zhí)行對組織機構(gòu)信息系統(tǒng)安全保障起著綱領(lǐng)性的指導(dǎo)作用。

上圖說明了信息系統(tǒng)安全保障中的這些高層概念的關(guān)系。

信息安全保障工作的基礎(chǔ)和前提是風(fēng)險管理。信息安全策略必須以風(fēng)險管理為基礎(chǔ)，針對可能存在的各種威脅和自身存在的弱點，采取有針對性的防范措施。信息安全不是追求絕對的安全，不強調(diào)面面俱到，但風(fēng)險必須是能夠管理的。

最適宜的信息安全策略就是最優(yōu)的風(fēng)險管理對策，這是一個在有限資源前提下的最優(yōu)選擇問題。防范不足會造成直接的損失；防范過多又會造成間接的損失。也就是說，信息安全保障的問題就是安全的效用問題，在解決或預(yù)防信息安全問題時，要從經(jīng)濟、技術(shù)、管理的可行性和有效性上做出權(quán)衡和取舍。