資源描述:
《風(fēng)險管理與信息安全風(fēng)險評估》由會員上傳分享����,免費在線閱讀�����,更多相關(guān)內(nèi)容在教育資源-天天文庫�����。
1����、風(fēng)險管理與信息安全風(fēng)險評估國家信息中心2005.12提綱一:信息化風(fēng)險及風(fēng)險管理研究二:信息安全風(fēng)險評估貴在實踐三、試點經(jīng)驗寶貴來自www.3722.cn中國最大的資料庫下載一:信息化風(fēng)險及風(fēng)險管理研究隨著信息化的發(fā)展��,信息化的風(fēng)險與風(fēng)險管理問題已經(jīng)成為各個國家�、國際組織所普遍關(guān)注的問題。信息化的風(fēng)險管理���,其中信息安全風(fēng)險和保障網(wǎng)絡(luò)空間的安全已經(jīng)成為關(guān)系信息化能否健康發(fā)展的重大問題�。來自www.3722.cn中國最大的資料庫下載一����、信息化風(fēng)險的定義風(fēng)險指行動或者事件的結(jié)果的不確定性(uncertaintyofoutcome)。信息化的風(fēng)險被界定為信息化可能或
2�����、者實際帶來的消極威脅��。風(fēng)險管理泛指評估風(fēng)險�����、確認(rèn)風(fēng)險���、回應(yīng)風(fēng)險的過程���。來自www.3722.cn中國最大的資料庫下載二�、信息化風(fēng)險的主要特征全球性傳染性復(fù)雜性隱蔽性來自www.3722.cn中國最大的資料庫下載三��、信息化風(fēng)險的內(nèi)在原因基本原因在于內(nèi)因�����,由信息化自身的特點所決定第一���,信息化的無疆界特征����;第二�,信息化的低成本特征;第三���,信息化的開放性特征;第四�����,信息化的匿名性特征����。來自www.3722.cn中國最大的資料庫下載第一��,自然災(zāi)害第二��,誤操作和安全生產(chǎn)事故��;第三�����,病毒�、蠕蟲以及網(wǎng)絡(luò)攻擊�;第四,由于信任體系不完善�����,借助信息化手段進(jìn)行欺詐���;第五�����,因內(nèi)部因素
3����、而造成的信息、數(shù)據(jù)的修改和丟失和內(nèi)部泄密�����;���;第六��,因外部因素造成信息����、數(shù)據(jù)的泄露�、篡改和丟失;第七���,安全防范措施不到位的高端技術(shù)�����。四、外部原因來自www.3722.cn中國最大的資料庫下載五��、我國信息安全風(fēng)險的生成機(jī)理第一,戰(zhàn)略能力不足��,規(guī)劃不明確��。(1)缺乏項目的建設(shè)戰(zhàn)略(2)缺乏項目的中長期發(fā)展規(guī)劃(3)缺乏明確項目的發(fā)展步驟(4)缺乏項目的階段性績效標(biāo)準(zhǔn)來自www.3722.cn中國最大的資料庫下載第二�,領(lǐng)導(dǎo)與組織能力不到位,統(tǒng)籌協(xié)調(diào)不力�。(1)領(lǐng)導(dǎo)對于風(fēng)險管理的重視不足,忽視電子化政府項目的高風(fēng)險等具體問題�����;(2)行政改革與創(chuàng)新的方向性錯誤�����;(3)組
4��、織信息化目標(biāo)的錯誤設(shè)定�,片面追求上網(wǎng),忽視服務(wù)質(zhì)量�����;(4)跨部門之信息化進(jìn)程的協(xié)調(diào)問題;(5)重復(fù)建設(shè)問題�����;(6)信息化項目未能及時完成�,預(yù)算超支問題;(7)信息孤島問題�;(8)項目難以有效評估或評測的問題。來自www.3722.cn中國最大的資料庫下載第三��,投資管理的能力差����,項目管理體系不成熟。(1)對項目投資管理的理念認(rèn)識和關(guān)注不足����;(2)項目的投資基礎(chǔ)(投資負(fù)責(zé)機(jī)構(gòu)、提出候選項目并予以篩選���、對投資項目的選定與實施過程的監(jiān)督�、捕獲投資信息等)建設(shè)不完善���;(3)在項目的投資過程(包括相關(guān)篩選��、控制和評估標(biāo)準(zhǔn)的確立�,對實施后的復(fù)查等)機(jī)制不健全�����;(4)在投資
5�����、的過程管理中���,存在薄弱環(huán)節(jié)�,無法做到全流程的“無縫隙管理”��;(5)在優(yōu)化投資過程方面��,往往無法實現(xiàn)項目投資的戰(zhàn)略性成果�。來自www.3722.cn中國最大的資料庫下載第四,資金的預(yù)算和管理能力差���。(1)對信息安全投資的風(fēng)險未做預(yù)測����,或預(yù)測不準(zhǔn);(2)資金支持不足�����;(3)無法尋求足夠的社會資金來源�����;(4)信息安全投資的回報難以監(jiān)控和評估����。來自www.3722.cn中國最大的資料庫下載第五,人力資源不足�。(1)缺乏信息安全風(fēng)險管理的人員和能力;(2)缺乏具備充足信息安全管理資格的人員��;(3)培訓(xùn)跟不上項目的進(jìn)程���,培訓(xùn)效果差���;(4)項目核心人員的流動問題。來自ww
6���、w.3722.cn中國最大的資料庫下載第六��,法律與政策不足�。我國目前的信息安全的法制工作發(fā)展較為緩慢;首先���,缺乏對信息化的全面立法支持,缺乏保障政府信息化的基本法律�����,如政府信息公開法�����、政府信息資源管理法��。其次�,缺乏對信息安全風(fēng)險的制度性規(guī)范,如信息風(fēng)險手冊等���。再次����,原有的一些法律已不能適應(yīng)信息化時代的要求�����,如著作權(quán)法、專利法�、刑法等。來自www.3722.cn中國最大的資料庫下載第七����,保護(hù)隱私,數(shù)據(jù)安全�,技術(shù)管理方面的不足。在泄露隱私方面:(1)不當(dāng)授權(quán)他人或機(jī)構(gòu)濫用用戶信息�;(2)未遵循法律或法規(guī)制定相應(yīng)的隱私和記錄管理政策。在影響數(shù)據(jù)安全方面:(1)工作
7��、人員對安全因素和措施缺乏足夠認(rèn)知��;(2)難以解決相關(guān)安全問題�;(3)病毒或黑客攻擊導(dǎo)致系統(tǒng)癱瘓;(4)由于一個主要系統(tǒng)癱瘓導(dǎo)致其它系統(tǒng)的失靈�����。來自www.3722.cn中國最大的資料庫下載六�、信息安全風(fēng)險的應(yīng)對戰(zhàn)略和政策(一)明確政府的角色,強(qiáng)化信息安全風(fēng)險管理的責(zé)任(二)建立和發(fā)展信息安全風(fēng)險管理的文化(三)做好國家信息安全的薄弱環(huán)節(jié)識別�����,減少信息化系統(tǒng)中的問題(四)通過有效的教育和培訓(xùn)提高和強(qiáng)化整個社會的信息安全風(fēng)險管理和安全意識與能力(五)強(qiáng)化信息化相關(guān)的立法,建立有效的管制機(jī)制���,以防止和化解信息安全風(fēng)險來自www.3722.cn中國最大的資料庫下載(
8���、六)建立健全國家信息化的技術(shù)安全平臺,通過安全技術(shù)的
