?12月16日到25日���,信息技術(shù)部對集團及子公司的所有信息系統(tǒng)進行了一次信息安全風險評估��。通過對系統(tǒng)的脆弱性����、威脅�����、風險分析�,潛伏威脅��、防護能力評估等測試評估,摸清了系統(tǒng)存在的問題和漏洞�,為后續(xù)更有效的防范信息系統(tǒng)風險做好基礎(chǔ)工作。
信息安全風險評估是加強信息安全保障體系建設(shè)和管理的關(guān)鍵環(huán)節(jié)�。通過開展信息安全風險評估工作�,可以發(fā)現(xiàn)信息安全存在的主要問題和矛盾,找到解決諸多關(guān)鍵問題的辦法���。只有在正確地��、全面地理解風險后�����,才能在控制風險�����、減少風險��、轉(zhuǎn)移風險之間做出正確的判斷���,決定調(diào)動多少資源、以什么代價��、采取什么樣的應(yīng)對措施去化解、控制風險�。
本次風險評估不僅采用了漏洞掃描、人工審計���、滲透性測試這種類型的純技術(shù)操作���,還使用了目前普遍采用國際標準的BS7799、ISO17799����、國家標準《信息系統(tǒng)安全等級評測準則》等方法,充分體現(xiàn)以資產(chǎn)為出發(fā)點�、以威脅為觸發(fā)因素、以技術(shù)����、管理、運行等方面存在的脆弱性為誘因的信息安全風險評估綜合方法及操作模型�。
通過本次基于多角度、多緯度的全面的信息風險評估����,細粒度呈現(xiàn)系統(tǒng)的安全現(xiàn)狀,由風險評估形成的風險報告���,將作為后期的應(yīng)急響應(yīng)制度建設(shè)��、立體的安全防護體系建設(shè)的基礎(chǔ)�。
信息技術(shù)部 牟曉威
