信息安全风险
安全风险之一
信息安全风险是指在信息化建设中,各类应用系统及其赖以运行的基础网络、处理的数据和信息,由于其可能存在的软硬件缺陷、系统集成缺陷等,以及信息安全管理中潜在的薄弱环节,而导致的不同程度的安全风险。
定义
信息安全风险评估是从风险管理的角度,运用科学的手段,系统的分析网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,为防范和化解信息安全风险,或者将风险控制在可以接受的水平,制定有针对性的抵御威胁的防护对策和整改措施以最大限度的保障网络和信息安全提供科学依据。
信息安全风险包括手机信息安全风险,e-mail风险等等。
评估需求
济南市劳动和社会保障信息系统存储了济南市100万人的社会保障信息,其中大部分是企业职工的资料。虽然劳动保险并不像银行那样拥有巨大的现金流,但直接关系到养老、现代医疗支付等百姓的切身利益,所以对信息安全的要求非常高。
济南市劳动和社会保障信息系统包括劳动保障、社会保险等5个险种的收缴、支付等全过程的管理,拥有劳动就业系统的职业介绍、再就业优惠等方面的信息和上千个网点,这些网点包括各个业务的经办机构,劳动局内部业务的经办机构,以及医院、药店、定点医疗机构和社区服务机构。劳动保障信息系统是最为关键的核心建设,也是面铺得最广、信息量最大的一个系统,巨大的信息流和资金流迫切要求劳动保障系统高效、安全地运行。
李寒梅告诉记者,济南市劳动和社会保障工作基本上依赖于信息系统,系统要是出现问题,日常业务就处于停滞状态。“尤其是系统加入了医疗保险的信息之后,整个系统需要7×24小时不间断地运行,而且每天都要24小时有人值班。因为病人看病不分时间,晚上也会有急诊,治病就医是与百姓密切相关的大事,一旦系统出现问题,医院和劳动部门的压力都很大。”
“到目前为止,虽然系统的核心网没出现过安全方面的问题,但是外部网受到的安全威胁较多,像医院端就感染过病毒,部分医院因为病毒侵袭出现了网络堵塞,所以说网络是很脆弱的。” 李寒梅说。正因为系统面临的安全威胁,济南市劳动局将风险评估提上了日程,希望相关专业机构提供具有权威性和专业性的评估,指出客观存在的风险、漏洞,然后根据评估结果和评估方案,有针对性地加强信息安全建设。
“当我们有这个想法的时候,国家正好也出台了《信息安全风险评估指南》,济南市更是将劳动局定为风险评估的两个试点单位之一。在整个运作过程中采用了招标、投标的方式,最后项目落到山东省安全测评中心。”李寒梅介绍说,“安全测评中心把系统的每一项都分为不同的资产进行认定; 然后进行资产的重要性分级,认定各项资产的风险系数; 并在业务进行期得到了隐性的监测数据,对从内部制度建设到具体业务系统之间的环节和流程都进行了详细调研; 测评中心再模拟数据,最终得出结论。”
由于IT资产自身的脆弱性,使得威胁的发生成为可能,从而形成了不同的风险。在风险评估中,资产的价值、资产被破坏后造成的影响、威胁的严重程度、威胁发生的可能性、资产的脆弱程度等都是风险评估的关键因素。风险评估的价值就在于对风险的认识,认识到了风险的存在才能采取相应的解决措施。对于风险的处理可以在考虑了管理成本后,选择适合企业自身的控制方法,对同类风险因素采用相同的基线控制,这样有助于在保证效果的前提下降低成本。
最新修订时间:2023-05-20 22:29
目录
概述
定义
评估需求
参考资料