信息安全风险评估的目的和意义.ppt

20.8.520.8.5Wednesday, August 5, 2020
• 14、 Where there is a will , there is a way . ( Thomas Edison , American inventor )有志者，事竟成。11:01:1911:01:1911:018/5/2020 11:01:19 AM
• 20、No man is happy who does not think himself so.——Publilius Syrus认为自己不幸福的人就不会幸福。2020年8月5日星期三11时1分19秒11:01:195 August 2020
今后，还应该更加重视信息化带来 的新的安全风险和信息安全风险。扎 扎实实搞好信息安全风险评估有关的 各项工作。
问题？
谢谢大家！
请提出宝贵意见
• 1、Genius only means hard-working all one's life. (Mendeleyer, Russian Chemist) 天才只意味着终身不懈的努力。20.8.58.5.202011:0311:03:10Aug-2011:03
• 18、There is no absolute success in the world, only constant progress.世界上的事没有绝对成功，只有不断的进步。2020年8月5日星期三上午11时1分19秒11:01:1920.8.5
• 19、 Nothing is more fatal to happiness than the remembrance of happiness. 没有什么比回忆幸福更令人痛苦的了。2020年8月上午11时1分20.8.511:01August 5, 2020
• 7、Although the world is full of suffering, it is full also of the overcoming of it.----Hellen Keller, American writer虽然世界多苦难，但是苦难总是能战胜的。20.8.520.8.520.8.5。2020年8月5日星期三二 〇二〇年八月五日
信息安全风险评估的目的和意义
所有信息安全建设都应该是基于信息 安全风险评估，只有在正确地、全面 地理解风险后，才能在控制风险、减 少风险、转移风险之间作出正确的判 断，决定调动多少资源、以什么的代 价、采取什么样的应对措施去化解、 控制风险。
信息安全风险评估的目的和意义
3、信息安全风险评估是需求主导和突出 重点原则的具体体现 如果说信息安全建设必须从实际出发， 坚持需求主导、突出重点，则风险评 估（需求分析）就是这一原则在实际 工作中的重要体现。从理论上讲风险 总是客观存在的。安全是安全风险与 安全建设管理代价的综合平衡。
信息安全风险评估的目的和意义
在日常生活和工作中，风险评估也是随 处可见，为了分析确定系统风险及风 险大小，进而决定采取什么措施去减 少、转移、避免风险，把风险控制在 可以容忍的范围内。
信息安全风险评估的目的和意义
人们经常会提出这样一些问题： 什么地方、什么时间可能出问题？ 出问题的可能性有多大？ 这些问题的后果是什么？ 应该采取什么样的措施加以避免和弥补？
信息安全风险评估的目的和意义
网络与信息安全组 2015年11月12日
信息安全风险评估的目的和意义
1、风险评估是分析确定风险的过程 2、信息安全风险评估是信息安全建设的起点和
基础 3、信息安全风险评估是需求主导和突出重点原
则的具体体现 4、重视风险评估是信息化比较发达国家的基本
经验 5、信息安全风险评估的组织者是信息系统的主
• 6、Almost any situation---good or bad---is affected by the attitude we bring to. ----Lucius Annaus Seneca差不多任何一种处境---无论是好是坏---都受到我们对待处境态度的影响。11时3分11时3分5Aug-208.5.2020
• •
THE END 8、For man is man and master of his fate.----Tennyson人就是人，是自己命运的主人11:0311:03:108.5.2020Wednesday, August 5, 2020
9、When success comes in the door, it seems, love often goes out the window.-----Joyce Brothers成功来到门前时，爱情往往就走出了窗外。 11:038.5.202011:038.5.202011:0311:03:108.5.202011:038.5.2020
• 3、Patience is bitter, but its fruit is sweet. (Jean Jacques Rousseau , French thinker)忍耐是痛苦的，但它的果实是甜蜜的。11:038.5.202011:038.5.202011:0311:03:108.5.202011:038.5.2020
信息安全风险评估的目的和意义
有些国家和国际组织还十分重视阶段 性的再评估工作，以求得信息安全措 施可以持续地适应信息安全形势的变 化和发展。
（美国联邦政府的年度评估制度 ， OECD信息wenku.baidu.com全九条中的评估和再评估）
信息安全风险评估的目的和意义
6、信息安全风险评估工作的协调合作与信息 交流 随着互联互通的发展，信息系统相互依赖性 的增加，信息安全的相互共同责任越来越大， 因此，风险评估有关的信息交流共享是必需 的，这是互联互通的参与者相互负责任的体 现，也是搞好安全防范工作的重要的前提之 一，符合所有参与者的共同利益。在信息安 全风险评估中，凡与互联的其它参与者有关 的情况，应该依据牵涉范围，及时交换或公 布，以便有关联的单位尽早采取应对措施。
信息安全风险评估的目的和意义
4、重视风险评估是信息化比较发达国家 的基本经验 由于信息技术的飞速发展，关系国计 民生的关键信息基础设施的规模越来 越大，同时也极大地增加了复杂程度， 发达国家越来越重视信息安全风险评 估工作，提倡风险评估制度化。
信息安全风险评估的目的和意义
上个世纪70年代，美国政府就发布了《自动 化数据处理风险评估指南》。其后颁布的关 于信息安全基本政策文件《联邦信息资源安 全》明确提出了信息安全风险评估的要求， 要求联邦政府部门依据信息和信息系统所面 临的风险，根据信息丢失、滥用、泄露、未 授权访问等造成损失的大小，制订、实施信 息安全计划，以保证信息和信息系统应有的 安全。
• 4、All that you do, do with your might; things done by halves are never done right. ----R.H. Stoddard, American poet做一切事都应尽力而为，半途而废永远不行 8.5.20208.5.202011:0311:0311:03:1011:03:10
• 10、Life is measured by thought and action, not by time. ——Lubbock 衡量生命的尺度是思想和行为，而不是时间。8.5.20208.5.202011:0311:0311:03:1011:03:10
• 11、To make a lasting marriage we have to overcome self-centeredness.要使婚姻长久，就需克服自我中心意识。Wednesday, August 5, 2020August 20Wednesday, August 5, 20208/5/2020
信息安全风险评估的目的和意义
信息共享的同时意味着必要的保密责 任与义务的转移，因此，强调信息共 享的同时，也应有制度性的要求，明 确共享信息保密、完整、可用的责任 和义务。
信息安全风险评估的目的和意义
结束语：
经过多年的探索，有关方面已经 在信息安全风险评估方面做了大量工 作，积累了一些宝贵的经验。
信息安全风险评估的目的和意义
不考虑风险的信息化是要 付出代价
有时代价可能很高，甚至 难以承受
信息安全风险评估的目的和意义
不计成本、片面地追求绝对安全、试图 消灭风险或完全避免风险是不现实的， 也不是需求主导原则所要求的。坚持 从实际出发，坚持需求主导、突出重 点，就必须科学地评估风险，有效控 制风险。
• 2、Our destiny offers not only the cup of despair, but the chalice of opportunity. (Richard Nixon, American President )命运给予我们的不是失望之酒，而是机会之杯。二〇二〇年八月五日2020年8月5 日星期三
管部门和运营单位 6、信息安全风险评估工作的协调合作与信息交
流
信息安全风险评估的目的和意义
信息安全风险评估是加强信息安全保 障体系建设和管理的关键环节。通过 开展信息安全风险评估工作，可以发 现信息安全存在的主要问题和矛盾， 找到解决诸多关键问题的办法。
信息安全风险评估的目的和意义
1、风险评估是分析确定风险的过程 任何系统的安全性都可以通过风险的大 小来衡量。科学分析系统的安全风险， 综合平衡风险和代价的过程就是风险 评估。
• 17、Do not, for one repulse, give up the purpose that you resolved to effect. ----Willian Shakespeare ,British dramatist不要只因一次失败，就放弃你原来决心想达到的目的。 20.8.520.8.511:01:1911:01:19August 5, 2020
• 5、You have to believe in yourself. That's the secret of success. ----Charles Chaplin人必须相信自己，这是成功的秘诀。-Wednesday, August 5, 2020August 20Wednesday, August 5, 20208/5/2020
总是试图找出最合理的答案。这一过程实际上 就是风险评估。早在上个世纪初期，科学家 就已开始研究风险管理理论。
信息安全风险评估的目的和意义
2、信息安全风险评估是信息安全建设的起点 和基础 信息安全风险评估是风险评估理论和方法在 信息系统中的运用，是科学分析理解信息和 信息系统在机密性、完整性、可用性等方面 所面临的风险，并在风险的预防、风险的控 制、风险的转移、风险的补偿、风险的分散 等之间作出决策的过程。
• 15、 Every man is the master of his own fortune. ----Richard Steele每个人都主宰自己的命运。20.8.511:01:1911:01Aug-205-Aug-20
• 16、As selfishness and complaint cloud the mind, so love with its joy clears and sharpens the vision. ----Helen Keller自私和抱怨是心灵的阴暗，愉快的爱则使视野明朗开阔。 11:01:1911:01:1911:01Wednesday, August 5, 2020
• •
谢谢观看 12、Treat other people as you hope they will treat you.你希望别人如何对待你，你就如何对待别人。11时3分11时3分5-Aug-208.5.2020
13、To do whatever needs to be done to preserve this last and greatest bastion of freedom. (Ronald Reagan , American President ) 为了保住这最后的、最伟大的自由堡垒，我们必须尽我们所能。