国信办曲维枝同志到北京朝阳区调研信息安全风险评估试点情况
来源:首都之窗 更新时间:2008-03-14

         2005年8月15日上午,国信办曲维枝常务副主任前往北京市朝阳区调研了信息安全风险评估试点情况。

  朝阳区政府陈刚区长介绍了朝阳区的基本情况及信息化建设情况。朝阳区信息办梅诗曙主任汇报了此次风险评估试点工作情况。朝阳区此次试点的系统是区政府网站群,该网站群是朝阳区政府宣传、沟通民意的窗口和桥梁,是区政府各业务部门为企业、群众办事的窗口,也是政府招商投资、对外宣传的窗口。该网站群在朝阳区整个电子政务系统中影响面最广。据首都之窗统计,朝阳区政府网站最高点击率达到800万次/月。

  此次朝阳区信息安全风险评估以自评估方式进行,北京市信息安全测评中心提供部分技术支持。目前准备阶段、核查测试阶段、综合评估阶段已完成,总结阶段工作也已基本完成。通过管理核查、配置检查、安全扫描等方法手段,按照"管理和技术并重"的原则,共发现10项信息安全管理风险和8项技术风险,其中高危技术漏洞5项。朝阳区在风险评估过程中注重边查边改,找出风险源头进行整改。对未发生安全事件但存在安全隐患的地方,进行处理以降低安全风险;暂时无法解决的,列入风险管理计划。朝阳区在自评估实践中,列出了安全威胁色温分布图,将安全威胁可视化,即用不同颜色标记信息系统中不同风险级别的设备和区域,有助于迅速直观地了解整个系统的安全状况。此外,朝阳区也提出了风险评估实施过程中的问题和建议,比如自评估能力的培养与提高问题;适用于自评估的过程方法问题;风险评估工具问题;风险评估资金投入与保障问题以及信息安全与信息保密的关系问题等。

  北京市信息办朱炎主任介绍了北京市信息化建设和信息安全保障工作的总体情况。朱主任表示北京市将努力完成好此次试点工作,在以后的工作中要将风险评估与信息安全管理的日常工作结合。

  曲主任肯定了朝阳区的信息安全自评估工作。朝阳区通过风险评估发现了很多漏洞,为以后的信息安全管理工作打下了基础。曲主任指出,北京是我国的首都,信息化走在全国的前列,对信息系统的依赖性很强,加之即将举办奥运会,面临的信息安全保障压力非常大。我们应当从政治安全、经济安全、国家安全的高度来认识信息安全问题。必须按照27号文件的精神,采取"积极防御,综合防范"的方针来加强信息安全保障工作。信息安全等级保护是我国信息安全保障工作的一项基本制度,在落实等级化建设和保护过程中,风险评估是一种很好的方法和手段,曲主任强调,我国信息化建设的很多关键软、硬件从国外进口,在此情况下,我们应当从管理、政策和标准等方面来弥补不足。曲主任还特别指出,据国内外有关机构统计,80%以上的信息安全风险来自内部,因此,在信息安全风险评估过程中,要重视来自内部的信息安全风险。北京市信息安全工作开展比较早,要注意总结经验,为制定国家有关政策提供借鉴。

  国信办安全组、公安部十一局负责同志和信息安全风险评估试点工作专家组部分专家参加了调研。