涉密信息系统安全风险评估

涉密信息系统安全风险评估的探讨 国家保密技术研究所 杜虹 引言 2003年9月7日中共中央办公厅、国务院办公厅以中办发[2003]27号文件转发了《国家信息化领导小组关于加强国家信息安全保障工作的意见》。其中强调了要重视信息安全风险评估工作。2004年1月9日国家召开了全国信息安全保障工作会议，黄菊同志在讲话中指出：要开展信息安全风险评估和检查。根据风险评估的结果，进行相应等级的安全建设和管理，特别是对涉及国家机密的信息系统，要按照党和国家有关保密规定进行保护。国家高度重视信息安全风险评估工作，并进一步明确了信息安全风险评估在国家信息安全保障工作中的地位和作用。本文将对信息安全风险评估的基本概念和涉及国家秘密的信息系统（以下简称“涉密信息系统”主要风险评估的作用、形式、步骤、方法等进行讨论。 一、信息系统安全风险评估的基本概念 信息系统的安全是一个动态的复杂过程，它贯穿于信息系统的整个生命周期。信息系统安全的威胁来自内部破坏、外部攻击、内外勾结进行的破坏以及信息系统本身所产生的意外事故，必须按照风险管理的思想，对可能的威胁和需要保护的信息资源进行风险分析，选择适当的安全措施，妥善应