信息系統(tǒng)由于要支持組織完成相應(yīng)的使命��、任務(wù)或?qū)崿F(xiàn)組織戰(zhàn)略目標(biāo)�,往往成為競(jìng)爭(zhēng)對(duì)手、黑客等各種攻擊者攻擊的目標(biāo)和對(duì)象���,同時(shí)由于多種原因?qū)е孪到y(tǒng)具有不同程度的脆弱性��。從而被外界或內(nèi)部的威脅所利用����,導(dǎo)致安全事件的頻發(fā)。
在信息系統(tǒng)安全生命周期的各個(gè)階段中���,往往由于各種原因?qū)е铝诵畔踩L(fēng)險(xiǎn)首先����,由于在信息系統(tǒng)規(guī)劃與設(shè)計(jì)階段����,運(yùn)營(yíng)者對(duì)安全目標(biāo)和策略認(rèn)識(shí)不夠清晰,沒有識(shí)別及分析安全因素���,導(dǎo)致風(fēng)險(xiǎn)延續(xù)到信息系統(tǒng)的實(shí)施和運(yùn)維階段��;其次�����,已建設(shè)完成的信息系統(tǒng)往往規(guī)模龐大�����、系統(tǒng)復(fù)雜��,數(shù)據(jù)安全屬性要求存在差異����,如果沒有對(duì)業(yè)務(wù)需求和流程進(jìn)行科學(xué)分析���,對(duì)整個(gè)信息系統(tǒng)采用相同的風(fēng)險(xiǎn)評(píng)估方法及采取安全保護(hù)措施���,將不能保證資源的合理配置,造成浪費(fèi)�����。
實(shí)施等級(jí)保護(hù)����,可以將信息系統(tǒng)劃分、確定等級(jí)�����,實(shí)現(xiàn)對(duì)重要系統(tǒng)的重點(diǎn)保護(hù)�����。因此��,建設(shè)安全的信息系統(tǒng)須在信息系統(tǒng)的全生命周期中不斷進(jìn)行風(fēng)險(xiǎn)評(píng)估,同時(shí)考慮系統(tǒng)等級(jí)的要求����。綜合平衡系統(tǒng)風(fēng)險(xiǎn)與安全投資成本,最終才能夠建設(shè)滿足實(shí)際需要的安全的信息系統(tǒng)�����。
在等級(jí)保護(hù)的環(huán)節(jié)中風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)性作用為:在系統(tǒng)定級(jí)階段用于幫助確定系統(tǒng)的安全等級(jí)���,在安全整改階段可以作為評(píng)估系統(tǒng)是否達(dá)到必需的安全等級(jí)的重要依據(jù)�,后期的安全運(yùn)行維護(hù)過(guò)程中開展定期風(fēng)險(xiǎn)評(píng)估以便幫助確認(rèn)安全等級(jí)是否發(fā)生變化�����。
所以����,風(fēng)險(xiǎn)評(píng)估是信息安全等級(jí)保護(hù)的基礎(chǔ)性工作,保證等級(jí)保護(hù)連續(xù)性的重要手段之一����。然而在實(shí)際工作中,信息系統(tǒng)的運(yùn)營(yíng)或使用單位往往沒有足夠的技術(shù)人員與管理人員對(duì)其系統(tǒng)進(jìn)行全面、深入的風(fēng)險(xiǎn)評(píng)估及較準(zhǔn)確的定級(jí)����、測(cè)評(píng),也沒有足夠的專業(yè)測(cè)試工具支持工作��。
..
|
