风险管理与信息安全风险评估(编辑修改稿)

风险管理与信息安全风险评估(编辑修改稿)内容摘要：

高信息系统防护能力，满足信息安全需求，逐步建成有中国特色的风险评估体系。  评估我国基础信息网络和重要信息系统，掌握我国基础信息网络和重要信息系统的安全状态，及时采取合适的应对措施，保障它们的正常运行。  通过对国家级重点电子政务系统、电子商务系统以及重要信息基础设施的风险评估工作，从中摸索经验，不断探索，逐步完善我国风险评估工作的管理机制。 来自 载 四、建立风险评估基本管理制度的建议  风险评估制度。 包括信息系统在设计阶段要进行风险评估以确定系统的安全目标；在建设验收阶段要进行风险评估以确定系统的安全目标达到与否；在运行维护阶段要针对安全形势和问题定期或不定期地不断进行风险评估以确定安全措施的有效性，确保安全保障目标始终如一得以实现。  信息安全检查制度与自评估制度。  信息安全检查由信息安全主管机关或信息系统上级主管机关发起，依据国家风险评估的管理规范和技术标准进行的检查评估 ,通过行政手段加强信息安全的重要措施。 包括安全保密检查、生产安全检查、专项检查等。  自评估是信息系统运营或应用单位依靠自身力量，依据国家风险评估的管理规范和技术标准，对系统进行风险评估的工作。  系统安全准入制度。 按照谁主管谁负责、谁运营谁负责的要求，信息系统上级主管机关依据自评估或信息安全检查的结果，决定是否批准信息系统投入建设或运行。 信息系统安全准入工作应纳入基础信息网络和重要信息系统安全管理体系。 来自 载 我国风险评估的几项任务  建立风险评估基本管理制度  加强风险评估工作队伍的建设  加强风险评估工作队伍的建设是做好风险评估工作的前提。 建议在条件相对成熟的情况下，在已有基础上，整合资源，形成一支承担国家基础信息网络和重要信息系统的风险评估的骨干力量，负责国家基础信息网络和重要信息系统风险评估工作。  提出信息安全等级保护和风险评估相关联的指导原则  针对不同的信息系统实施信息安全等级保护的重要原则，要针对不同信息安全等级的信息系统，提出进行风险评估工作所遵循的相应评估准则、工作模式和工作流程，作为各部门、各单位安全风险评估指南的补充，同时丰富和完善对不同类型、不同等级的信息系统实施信息安全等级保护的具体内容。 来自 载 落实风险评估建设的相关措施  加强法规建设和标准化工作  按照我国信息化发展需求，逐步完善我国风险评估相关的法律法规体系，形成和完善满足我国信息化建设需要的风险评估标准体系，规范我国风险评估执法主体行为，实现管理法制化和规范化。  保证风险评估工作必要的经费  通过国家财政正式立项，对国家基础网络和重要信息系统风险评估工作、国家安全风险评估试点示范项目、相关法规和标准研究和相关基础研究与人才培训等项目给予资金支持，保证配套经费的落实。  统筹建设国家风险评估的基础设施和基础环境  统筹建设国家基础信息网络和重要信息系统风险评估的基础设施和基础环境，将风险评估国家重点实验室的建设纳入国家信息安全保障基础设施的建设规划，构建风险分析试验环境，组织研制开发科学、实用的检查、评估工具，开展风险评估技术、理论、标准的研究。 建立国家风险评估数据库，积累资料，全面提高国家风险评估水平。  加强风险评估核心技术研究与攻关研究  国家要加强风险评估核心技术研究与攻关，通过技术创新，增强风险评估核心技术的竞争力，适应时代发展的要求，力争在近几年内在核心环节有较大的突破。 来自 载 提纲 一、信息化风险及风险管理研究 二：信息安全风险评估贵在实践 三、试点经验宝贵 来自 载 研究了试点工作目的  试点工作的目的是 :  在现有管理体制下，摸索如何开展信息安全风险评估工作，检验草拟的风险评估相关标准规范的可行性与可用性，为全面推广信息安全风险评估工作和国家出台 《 关于信息安全风险评估工作意见 》 做前期准备。  在试点工作中将探讨以下问题：  探索风险评估管理机制的建设，研究如何落实中办发 27号文件“ 谁主管谁负责谁运营谁负责 ” 的原则， 包括信息安全风险评。