增强风险评估的竞争力

　　国家信息中心信息安全研究与服务中心主任/吴亚非(供《IT时代周刊》专稿)

　　捍卫信息安全是一场看不见硝烟的战争，而信息安全风险评估是这场战争的基础性工作。目前，我国在这方面还相对落后，各级政府与企业应当科学地做好风险评估

　　安全无小事。随着国民经济的发展，信息化程度愈高，信息安全保障工作就愈重要 。信息安全风险评估(以下简称“风险评估”)是信息安全保障工作的基础性工作。但是，现在我国在信息系统的风险评估还处于起步阶段，亟待规范和提高。

　　目前，我国很多政府部门和企业的风险评估工作由于没有与信息系统的生命周期和安全建设联系起来，仅仅是为评估而评估。在风险评估后，没有针对风险评估的结果采取对策，安全状况最终并未取得实质性的增强和改善，这些风险评估工作仅仅起到了应付上级检查的作用，存在的隐患又有可能会导致新的风险。

　　风险评估是一项全新的工作，涉及信息安全管理部门、信息系统主管部门、建设单位和运营或应用部门，科学的风险评估需要理论、方法、技术来支撑，那么我国应该如何建立起良好的风险评估机制呢？

　　建立和完善各项制度

　　风险评估敏感性很强，如果引导不当，管理不到位，有可能给国家、社会和企业带来新的安全隐患，当前最重要就是建立和完善风险评估的各项基本制度。

　　首先，建立和完善风险评估制度，包括信息系统在设计阶段要确定系统的安全目标；在建设验收阶段要确定系统的安全目标达到与否；在运行维护阶段要针对安全形势和问题定期或不定期地进行风险评估以确定安全措施的有效性，确保安全保障目标始终如一得以实现。

　　其次，建立起信息安全检查制度与自我评估制度。信息安全检查由信息安全主管机关或信息系统上级主管机关发起，依据国家风险评估的管理规范和技术标准进行检查评估,通过行政手段加强信息安全。同时，各信息系统运营或应用单位依靠自身力量或委托有资质的评估机构，也要对自身信息系统进行风险评估。

　　同时，按照谁主管谁负责、谁运营谁负责的要求，信息系统上级主管机关依据自评估或信息安全检查的结果，决定是否批准信息系统投入建设或运行。信息系统安全认可和批准工作应纳入基础信息网络和重要信息系统安全管理体系。

　　最后，建立风险评估机构管理制度。对国家基础信息网络和重要信息系统的风险评估，实行资质准入制度，只允许经国家批准的风险评估机构实施风险评估。国家必须加强风险评估工作的管理，建立服务标准、资质认可与资质核查评估制度。

　　标准规范也是推广和实施风险评估工作的法律依据和技术保障，要加快风险评估管理与技术标准的制定和完善，尽快出台国家标准的《信息安全风险评估指南》、《信息系统安全批准规范》和《信息安全风险管理指南》。

　　加大人才培养与基础建设

　　加强风险评估工作队伍的建设是做好风险评估工作的前提。我国要形成国家基础信息网络和重要信息系统的风险评估的骨干力量，负责实施本系统风险评估工作。同时，积极宣传风险管理的基本知识，增强风险意识，组织开展相关培训，提高对风险管理与评估工作的认识和重视。

　　在基础建设上，要统筹建设国家基础信息网络和重要信息系统风险评估的基础设施和基础环境，将风险评估国家重点实验室的建设纳入国家信息安全保障基础设施的建设规划，构建风险分析试验环境，组织研制开发科学实用的检查评估工具，开展风险评估技术、理论、标准的研究；建立国家风险评估数据库，积累资料，全面提高国家风险评估水平。

　　同时，要选择国家基础信息网络和重要信息系统的单位开展风险评估试点工作，探索风险评估工作的经验，逐步积累，形成国家基础信息网络和重要信息系统的风险分析指南等相关的配套规范、标准和工具和保护策略，积累风险评估工作实施的方法和经验。

　　通过加强风险评估核心技术研究与攻关，不断地技术创新，我国将增强风险评估核心技术的竞争力，在近几年内会有较大的突破。