4.信息安全風險評估

重視信息安全風險評估是信息化發達國家的重要經驗。作為風險評估先驅者的美國等信息化發達國家越來越重視信息系統風險評估工作。早在上個世紀70年代初期，美國政府就提出了風險評估的要求，要求聯邦政府部門依據信息和信息系統所面臨的風險，根據信息丟失、濫用、泄露和未授權訪問等造成損失的大小，制訂、實施和維持信息安全計劃，以保證信息和信息系統的適度安全。2002年頒布的< 2002聯邦信息安全管理法》對信息安全風險評估提出了更加具體的要求，指定聯邦管理和預算辦公室( Office of Management and Budget，

OIVIB)督促這項工作，要求各聯邦機構周期性地評估各自信息和信息系統的未授權訪問、信息泄露、服務中斷和系統破壞所造成的風險和危害，周期性地測試信息安全措施和技術的有效性。

2006年6月，美國國土安全部正式發布了《國家基礎設施保護計劃》( National Infrastructure Protection Program，NIPP)。NIPP是美國國土安全框架的一個關鍵要素，它是建立于一系列國家戰略之上，包括2002年7月發布的《國土安全戰略》，2003年2月發布的《關鍵基礎設施和重要資產物理保護的國家戰略》，2003年2月發布的《保護網際空間國家戰略》，以及2003年12月發布的第7號國土安全總統令。從NIPP和這一系列美國國家戰略中可以看出，以風險管理框架為基礎開展風險評估工作，已經成為美國等西方發達國家保障關鍵基礎設施和重要資源，從而保護國土安全的一個核心要素和重要手段。

信息安全風險評估是信息安全保障體系建立過程中一種重要的評價方法和決策機制，在信息安全保障體系建設中具有不可替代的地位和重要作用。信息安全風險評估是信息安全保障的基礎性互作，它既是明確安全需求、確定安全保障重點的科學方法和手段，又是信息安全建設和管理的重要保證。沒有準確及時的風險評估，各個機構無法對其信息安全的狀況做出準確的判斷。

風險評估工作的目的是為國家信息化發展服務，促進信息安全保障體系的建設，提高信息系統的安全保護能力。目前，國家關鍵基礎設施對信息系統的依賴性越來越強，因此，許多重要信息網絡和重要信息系統單位開展信息安全風險評估的需求越來越迫切，一些大型應用行業在考慮信息系統建設的布局時，已經在信息安全評估、咨詢和規劃方面投入了實質性的資金支持。現階段，風險評估工作的主要任務是要認清信息安全環境和狀況，采取和完善安全保障措施，使其更加經濟有效，并使信息安全策略保持一致性和持續性。