信息系统由于要支持组织完成相应的使命、任务或实现组织战略目标,往往成为竞争对手、黑客等各种攻击者攻击的目标和对象,同时由于多种原因导致系统具有不同程度的脆弱性。从而被外界或内部的威胁所利用,导致安全事件的频发。
在信息系统安全生命周期的各个阶段中,往往由于各种原因导致了信息安全风险首先,由于在信息系统规划与设计阶段,运营者对安全目标和策略认识不够清晰,没有识别及分析安全因素,导致风险延续到信息系统的实施和运维阶段;其次,已建设完成的信息系统往往规模庞大、系统复杂,数据安全属性要求存在差异,如果没有对业务需求和流程进行科学分析,对整个信息系统采用相同的风险评估方法及采取安全保护措施,将不能保证资源的合理配置,造成浪费。
实施等级保护,可以将信息系统划分、确定等级,实现对重要系统的重点保护。因此,建设安全的信息系统须在信息系统的全生命周期中不断进行风险评估,同时考虑系统等级的要求。综合平衡系统风险与安全投资成本,最终才能够建设满足实际需要的安全的信息系统。
在等级保护的环节中风险评估的基础性作用为:在系统定级阶段用于帮助确定系统的安全等级,在安全整改阶段可以作为评估系统是否达到必需的安全等级的重要依据,后期的安全运行维护过程中开展定期风险评估以便帮助确认安全等级是否发生变化。
所以,风险评估是信息安全等级保护的基础性工作,保证等级保护连续性的重要手段之一。然而在实际工作中,信息系统的运营或使用单位往往没有足够的技术人员与管理人员对其系统进行全面、深入的风险评估及较准确的定级、测评,也没有足够的专业测试工具支持工作。
..
|