定義
信息安全風險評估是從風險管理的角度,運用科學的手段,系統的分析網路與信息系統所面臨的威脅及其存在的脆弱性,評估安全事件一旦發生可能造成的危害程度,為防範和化解信息安全風險,或者將風險控制在可以接受的水平,制定有針對性的抵禦威脅的防護對策和整改措施以最大限度的保障網路和信息安全提供科學依據。
信息安全風險包括手機信息安全風險,e-mail風險,騰訊聊天信息風險等等。
評估需求
濟南市勞動和社會保障信息系統存儲了濟南市100萬人的社會保障信息,其中大部分是企業職工的資料。雖然勞動保險並不像銀行那樣擁有巨大的現金流,但直接關係到養老、現代醫療支付等百姓的切身利益,所以對信息安全的要求非常高。
目前,濟南市勞動和社會保障信息系統包括勞動保障、社會保險等5個險種的收繳、支付等全過程的管理,擁有勞動就業系統的職業介紹、再就業優惠等方面的信息和上千個網點,這些網點包括各個業務的經辦機構,勞動局內部業務的經辦機構,以及醫院、藥店、定點醫療機構和社區服務機構。勞動保障信息系統是最為關鍵的核心建設,也是面鋪得最廣、信息量最大的一個系統,巨大的信息流和資金流迫切要求勞動保障系統高效、安全地運行。
李寒梅告訴記者,濟南市勞動和社會保障工作基本上依賴於信息系統,系統要是出現問題,日常業務就處於停滯狀態。“尤其是系統加入了醫療保險的信息之後,整個系統需要7×24小時不間斷地運行,而且每天都要24小時有人值班。因為病人看病不分時間,晚上也會有急診,治病就醫是與百姓密切相關的大事,一旦系統出現問題,醫院和勞動部門的壓力都很大。”
“到目前為止,雖然系統的核心網沒出現過安全方面的問題,但是外部網受到的安全威脅較多,像醫院端就感染過病毒,部分醫院因為病毒侵襲出現了網路堵塞,所以說網路是很脆弱的。” 李寒梅說。正因為系統面臨的安全威脅,濟南市勞動局將風險評估提上了日程,希望相關專業機構提供具有權威性和專業性的評估,指出客觀存在的風險、漏洞,然後根據評估結果和評估方案,有針對性地加強信息安全建設。
“當我們有這個想法的時候,國家正好也出台了《信息安全風險評估指南》,濟南市更是將勞動局定為風險評估的兩個試點單位之一。在整個運作過程中採用了招標、投標的方式,最後項目落到山東省安全測評中心。”李寒梅介紹說,“安全測評中心把系統的每一項都分為不同的資產進行認定; 然後進行資產的重要性分級,認定各項資產的風險係數; 並在業務進行期得到了隱性的監測數據,對從內部制度建設到具體業務系統之間的環節和流程都進行了詳細調研; 測評中心再模擬數據,最終得出結論。”
由於IT資產自身的脆弱性,使得威脅的發生成為可能,從而形成了不同的風險。在風險評估中,資產的價值、資產被破壞後造成的影響、威脅的嚴重程度、威脅發生的可能性、資產的脆弱程度等都是風險評估的關鍵因素。風險評估的價值就在於對風險的認識,認識到了風險的存在才能採取相應的解決措施。對於風險的處理可以在考慮了管理成本後,選擇適合企業自身的控制方法,對同類風險因素採用相同的基線控制,這樣有助於在保證效果的前提下降低成本。