旨在国家信息安全风险管控等级保护.pdfVIP

2011年增刊特 别 论 文 旨在国家信息安全风险管控的等级保护 ——等级保护和风险管理关系分析 毕马宁，马力 （公安部信息安全等级保护评估中心，北京 100142） 摘　要：在信息安全理论和技术的发展过程中，信息安全风险管理理论和方法一直是人们普遍可接受 的信息安全问题解决思路和方法，随着信息安全等级保护工作的全面展开，人们疑惑信息安全等级保护制 度与信息安全风险管理之间的关系，该文分析和说明了信息安全等级保护制度就是带有中国特色的国家信 息安全风险管控行为。 关键字：信息安全；等级保护；风险管理 中图分类号：TP393.08 文献标识码：A 0 引言 起源于上世纪中叶的信息化革命，如同人类历史上每一次工业革命一样，彻底改变了人类生产、生活的模式。信息技术的发展， 特别是基于TCP/IP协议的互通互联、平台共享、资源共享技术的发展，使人类传统的生产生活模式发生了巨大的变化，现如今 无论是国家事务管理、社会秩序运行和人民生活保障都离不开计算机信息系统，我们在享受信息化革命带来的巨大便捷和生活 乐趣的同时，也看到新的安全威胁。 信息安全等级保护制度是我国在国民经济和社会信息化的发展过程中，提高信息安全保障能力和水平，维护国家安全、社会 稳定和公共利益，保障和促进信息化建设健康发展的一项基本制度。为了推动信息安全等级保护工作, 公安部根据《中华人民共 和国计算机信息系统安全保护条例》（147号令）会同有关部门制定了信息安全等级保护配套的政策体系和标准体系。《信息安全 等级保护管理办法》（公通字[2007]43号）明确了信息安全等级保护工作包括定级备案、建设整改、等级测评和监督检查等主要工作。 随着信息安全等级保护工作的深入开展，全国范围内的信息系统运行使用单位、安全服务商和产品提供商等均加入到了此项工 作中来，信息安全等级保护工作受到了前所未有的重视。一段时间以来，在信息安全理论和技术的发展过程中，信息安全风险管理 理论和方法一直是人们普遍接受的信息安全问题解决思路，随着信息安全等级保护工作的全面展开，人们疑惑信息安全等级保护制 度与以往信息安全风险管理之间的关系，其实，信息安全等级保护制度就是带有中国特色的国家信息安全风险管控行为。 1 信息安全风险管理理论的发展 无论是政府机构，还是企业组织，存在的目的都是为其利益相关方带来价值。所面临的挑战是在追求利益相关方价值增长 的同时，随时准备接受不确定性。不确定性既代表风险，也代表机遇，对不确定性的管理，就是对风险的管理。现代风险管理 理论产生于西方国家，它是为制定有效的经济发展战略和市场竞争策略而创造的一种理论和方法。风险管理理论由于它的广泛 适用性,现已被各个国家用于社会发展、经济建设、公共安全和信息安全诸多领域。 风险管理理论应用于信息安全领域始于20世纪60年代，当时随着资源共享计算机系统和早期计算机网络的出现，计算机 安全问题初步显露，20世纪90年代由于互联网、移动通信和跨国光缆的高速发展，信息安全成为世界各国面临的共同挑战，与 此同时风险管理理论和方法获得了迅速的发展。 13335提出了最早的普遍被人们接受的信息安全风险管理理论和方法。 作者简介：毕马宁（1960-），男，江苏，副研究员，硕士，主要研究方向：信息安全管理、信息安全等级保护；马力（1963-），男，江苏，副研究员， 硕士，主要研究方向：信息安全、等级保护。 49 特 别 论 文 2011年增刊 2 不同国家的信息安全风险管理 行、资产或个体可能造成损害的风险在可接受的范围内，授权 信息系统运行。涉及的标准包括 SP 800-37《联邦信息系统安 国际信息安全风险管理标准的出台，进一步推动了各国信 全认证认可指南》。 息安全风险管理理论和实践方