对信息安全风险评估中几个重要问题的认识

【摘要】 《国家信息化领导小组关于加强信息安全保障工作的意见》中,提出了要实行信息安全等级保护,并在其中强调,要重视信息安全风险评估工作。2004年1月召开的全国信息安全保障工作会议则进一步深化了对信息安全风险评估工作的要求,将其列为当前需要务必抓好的五方面工作之一,并作了明确部署,要求“开展信息安全风险评估和检查,抓紧研究制定基础信息网络和重要信息系统风险评估的管理规范,并组织力量提供技术支持。”为此,国务院信息化工作办公室以及相关主管部门已经作了大量的调查和研究,目前信息安全风险评估(以下简称风险评估)的标准化工作也已经起步。在信息安全产业界,风险评估早已不是陌生话题,几年以来,各安全公司完成的风险更多还原