风险管理与信息安全风险评估.pptx

风险管理与信息安全风险评估; 提 纲;一：信息化风险及风险管理研究;一、信息化风险的定义;二、信息化风险的主要特征 ;三、信息化风险的内在原因 ;第一，自然灾害 第二，误操作和安全生产事故； 第三，病毒、蠕虫以及网络攻击； 第四，由于信任体系不完善，借助信息化手段进行欺诈； 第五，因内部因素而造成的信息、数据的修改和丢失和内部泄密； ； 第六，因外部因素造成信息、数据的泄露、篡改和丢失； 第七，安全防范措施不到位的高端技术。;五、我国信息安全风险的生成机理 ;第二，领导与组织能力不到位，统筹协调不力。 （1）领导对于风险管理的重视不足，忽视电子化政府项目的高风险等具体问题； （2）行政改革与创新的方向性错误； （3）组织信息化目标的错误设定，片面追求上网，忽视服务质量； （4）跨部门之信息化进程的协调问题； （5）重复建设问题 ； （6）信息化项目未能及时完成，预算超支问题； （7）信息孤岛问题 ； （8）项目难以有效评估或评测的问题 。 ;第三，投资管理的能力差，项目管理体系不成熟。 （1）对项目投资管理的理念认识和关注不足； （2）项目的投资基础（投资负责机构、提出候选项目并予以筛选、对投资项目的选定与实施过程的监督、捕获投资信息等）建设不完善； （3）在项目的投资过程（包括相关筛选、控制和评估标准的确立，对实施后的复查等）机制不健全； （4）在投资的过程管理中，存在薄弱环节，无法做到全流程的“无缝隙管理”； （5）在优化投资过程方面，往往无法实现项目投资的战略性成果。 ;第四，资金的预算和管理能力差。 （1）对信息安全投资的风险未做预测，或预测不准； （2）资金支持不足； （3）无法寻求足够的社会资金来源； （4）信息安全投资的回报难以监控和评估。 ;第五，人力资源不足。 （1）缺乏信息安全风险管理的人员和能力； （2）缺乏具备充足信息安全管理资格的人员； （3）培训跟不上项目的进程，培训效果差； （4）项目核心人员的流动问题。 ;第六，法律与政策不足。 我国目前的信息安全的法制工作发展较为缓慢； 首先，缺乏对信息化的全面立法支持，缺乏保障政府信息化的基本法律，如政府信息公开法、政府信息资源管理法。 其次，缺乏对信息安全风险的制度性规范，如信息风险手册等。 再次，原有的一些法律已不能适应信息化时代的要求，如著作权法、专利法、刑法等。 ;第七，保护隐私，数据安全，技术管理方面的不足。 在泄露隐私方面： （1）不当授权他人或机构滥用用户信息； （2）未遵循法律或法规制定相应的隐私和记录管理政策。 在影响数据安全方面： （1）工作人员对安全因素和措施缺乏足够认知； （2）难以解决相关安全问题； （3）病毒或黑客攻击导致系统瘫痪； （4）由于一个主要系统瘫痪导致其它系统的失灵。 ;六、信息安全风险的应对战略和政策;（六）建立健全国家信息化的技术安全平台，通过安全技术的发展保障信息化系统的安全 （七）采取有效的措施，确保敏感性信息和国家重要信息基础设施的安全 （八）保障政府系统的安全 （九）建立国家网络空间安全的危机管理系统 （十）通过信息的共享和广泛的合作，化解信息安全风险; 提 纲;党中央、国务院高度重视网络与信息安全工作;深刻认识开展信息安全风险评估工作的重要意义;我对风险评估工作指导思想和原则的理解;对风险评估总体要求的理解;四、建立风险评估基本管理制度的建议;我国风险评估的几项任务;落实风险评估建设的相关措施;提纲;研究了试点工作目的;明确专家组工作基本思路;确定选择试点单位;协助国信办提出试点工作阶段划分的建议;积极参与了试点工作;积极参与了试点工作（续）;试点工作与标准验证;收获和体会;试点工作技术上特点;典型方法之一：综合风险计算法;典型方法之四：面向关键信息资产的评估方法 （续）;试点工作出现了一批成果;试点工作出现了一批成果（续）;试点工作发现的问题;下一步建议;建设独立自主、符合国际惯例的风险评估技术支撑体系;安全测试评估工具、平台与环境;下一步建议（续）;限于水平和精力，专家组工作，还有许多不到之处，欢迎批评指正!;忧国忘家，捐躯济难，忠臣之志也。—三国·曹植《求自诚表》。五月-20五月-20Wednesday, May 13, 2020 墨守成规，四平八稳，优柔寡断，畏首畏尾，不是企业家的气质。。02:06:0102:06:0102:065/13/2020 2:06:01 AM 心境，是一种情感状况，领有了好心情，也就拥有了，继而占有了年青跟健康。就拥有了对将来生活的憧憬，充斥等待，让咱们拥有一份善意情吧，由于生涯着就是荣幸和快活。。五月-2002:06:0102:06May-2013-May-20 帮别人的事做完就忘记，别人为自己做的事时时记着，哪怕这个人只有那么一次