?12月16日到25日�,信息技術(shù)部對集團(tuán)及子公司的所有信息系統(tǒng)進(jìn)行了一次信息安全風(fēng)險評估��。通過對系統(tǒng)的脆弱性�、威脅、風(fēng)險分析���,潛伏威脅�、防護(hù)能力評估等測試評估����,摸清了系統(tǒng)存在的問題和漏洞���,為后續(xù)更有效的防范信息系統(tǒng)風(fēng)險做好基礎(chǔ)工作。
信息安全風(fēng)險評估是加強(qiáng)信息安全保障體系建設(shè)和管理的關(guān)鍵環(huán)節(jié)����。通過開展信息安全風(fēng)險評估工作,可以發(fā)現(xiàn)信息安全存在的主要問題和矛盾����,找到解決諸多關(guān)鍵問題的辦法���。只有在正確地�����、全面地理解風(fēng)險后����,才能在控制風(fēng)險���、減少風(fēng)險����、轉(zhuǎn)移風(fēng)險之間做出正確的判斷,決定調(diào)動多少資源��、以什么代價��、采取什么樣的應(yīng)對措施去化解����、控制風(fēng)險。
本次風(fēng)險評估不僅采用了漏洞掃描��、人工審計���、滲透性測試這種類型的純技術(shù)操作�����,還使用了目前普遍采用國際標(biāo)準(zhǔn)的BS7799���、ISO17799、國家標(biāo)準(zhǔn)《信息系統(tǒng)安全等級評測準(zhǔn)則》等方法����,充分體現(xiàn)以資產(chǎn)為出發(fā)點���、以威脅為觸發(fā)因素、以技術(shù)�、管理、運行等方面存在的脆弱性為誘因的信息安全風(fēng)險評估綜合方法及操作模型����。
通過本次基于多角度、多緯度的全面的信息風(fēng)險評估�,細(xì)粒度呈現(xiàn)系統(tǒng)的安全現(xiàn)狀,由風(fēng)險評估形成的風(fēng)險報告��,將作為后期的應(yīng)急響應(yīng)制度建設(shè)�、立體的安全防護(hù)體系建設(shè)的基礎(chǔ)��。
信息技術(shù)部 牟曉威
