信息安全服務(wù)評估報告精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的信息安全服務(wù)評估報告主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：信息安全服務(wù)評估報告范文

新增多項強勁功能

據(jù)安全專家介紹，此次的全新瑞星殺毒軟件網(wǎng)絡(luò)版2012中，增加了“私有云”技術(shù)、動態(tài)資源分配技術(shù)、企業(yè)自定義白名單系統(tǒng)、第二代身份標(biāo)識和客戶端密碼防護系統(tǒng)?；谶@些全新的功能，企業(yè)的信息安全管理可以更為穩(wěn)定，并且更加精準(zhǔn)。

瑞星企業(yè)專屬“私有云”為每個企業(yè)單獨構(gòu)建，提供專屬的云應(yīng)用和云服務(wù)。它主要有兩個功能：一，為企業(yè)提供了安全應(yīng)用軟件平臺，便于企業(yè)獲取經(jīng)過瑞星安全認(rèn)證的各類應(yīng)用軟件，便于管理員分發(fā)、管理和監(jiān)控。二，為每個企業(yè)定制專屬的安全服務(wù)，企業(yè)客戶端無需存放病毒庫，也無需進(jìn)行復(fù)雜殺毒運算，大大降低了對系統(tǒng)資源的占用，同時可進(jìn)行最快速、最及時、最輕便的病毒掃描和防護。

智能動態(tài)資源分配技術(shù)優(yōu)化了殺毒引擎的核心技術(shù)，使其變得更加輕便，突破了傳統(tǒng)殺毒軟件一次性將病毒庫加載到內(nèi)存中，使用高負(fù)荷CPU進(jìn)行運算的方式，并對病毒庫進(jìn)行了細(xì)化，同時優(yōu)化其存儲和加載方式，在殺毒時，實現(xiàn)化整為零、按需加載，從而達(dá)到降低資源占用的目的，使更多的老舊電腦也可以流暢運行最先進(jìn)的殺毒軟件。

大型企業(yè)在遇到安全問題時，最為頭疼的是管理員很難在短時間內(nèi)定位到具體出現(xiàn)問題的電腦，從而使問題變得更加復(fù)雜，延遲解決時間。在新一代瑞星網(wǎng)絡(luò)版殺毒軟件中，增加了第二代身份識別標(biāo)示，對用戶標(biāo)示進(jìn)行升級，加入了CPU、主板、硬盤串號、Mac地址、微軟身份標(biāo)示等信息，管理員可精確定位每臺電腦。

5S服務(wù)詮釋高端企業(yè)安全理念

將“私有云”、智能動態(tài)資源分配等領(lǐng)先的技術(shù)迅速落地，轉(zhuǎn)化為產(chǎn)品并與專業(yè)的企業(yè)信息安全服務(wù)相結(jié)合，這是瑞星一直追求的目標(biāo)。在瑞星新一代企業(yè)級整體解決方案中，用戶不僅可享受到“私有云”技術(shù)帶來的安全成果，而且能夠得到國內(nèi)首家5S專業(yè)級企業(yè)信息安全服務(wù)。

瑞星公司客服中心總經(jīng)理齊勇表示，在企業(yè)信息安全領(lǐng)域，瑞星向企業(yè)用戶提供了信息安全評估服務(wù)、信息安全預(yù)警服務(wù)、信息安全專家服務(wù)、信息安全應(yīng)急響應(yīng)服務(wù)、信息安全培訓(xùn)服務(wù)。

1、信息安全評估服務(wù)：信息安全始于評估，作為擁有CSP認(rèn)證的安全廠商，瑞星將為用戶全面評估面臨的各種安全風(fēng)險、提供專業(yè)評估報告。

2、信息安全預(yù)警服務(wù)：可以通過專屬手機通道、郵件通報、網(wǎng)站掛馬預(yù)警、網(wǎng)站漏洞檢測等方式，第一時間發(fā)出預(yù)警信息，為企業(yè)提供信息安全服務(wù)。

3、信息安全專家服務(wù)：通過對口信息安全顧問、專家常駐支持等方式提供技術(shù)支持。

4、信息安全應(yīng)急響應(yīng)服務(wù)：一旦遇到信息安全事故，瑞星便會通過現(xiàn)場巡檢、遠(yuǎn)程巡檢、現(xiàn)場緊急救援、遠(yuǎn)程緊急救援、數(shù)據(jù)災(zāi)難恢復(fù)、網(wǎng)站掛馬應(yīng)急處理等方式，第一時間解決安全問題。

第2篇：信息安全服務(wù)評估報告范文

關(guān)鍵詞：信息安全；等級保護；漏洞掃描

中圖分類號：TP315 文獻(xiàn)標(biāo)識碼：A 文章編號：1007-9599 (2011) 23-0000-02

Use Vulnerability Scanning System to Improve the Level of Power Supply Enterprise Information Security Management

Chen Wan

(Guangdong Power Grid Corporation,Shantou Power Supply Bureau,Shantou 515041,China)

Abstract:The building vulnerability scanning system,and regulate their use of processes,thereby enhancing the power supply enterprise level and effectiveness of information security management.Shantou Power Supply Bureau introduced the use of the IDC deployment vulnerability scanning system,set up the server was added to the process specifications,thereby enhancing the information security management.

Keywords:Information security;Protection Level;Vulnerability scanning

引言：伴隨著信息化的高速發(fā)展，信息安全的形勢日趨復(fù)雜和嚴(yán)峻。國家政府對信息安全高度關(guān)注，信息安全等級保護是我國在新的信息安全形勢下推行的一項國家制度，國家相關(guān)部門高度重視等級保護制度的落實與執(zhí)行。信息系統(tǒng)是業(yè)務(wù)系統(tǒng)的支持平臺，信息系統(tǒng)的安全是承載業(yè)務(wù)系統(tǒng)安全的基礎(chǔ)，而在信息系統(tǒng)等級保護中，安全技術(shù)測評包括五個部分：分別是物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)。其中所涉及到的主機系統(tǒng)安全控制點包括：身份鑒別、安全標(biāo)記、訪問控制、可信路徑、安全審計、入侵防范、惡意代碼防范和資源控制等九個控制點。怎么提前做好風(fēng)險控制，利用現(xiàn)有的信息安全工具，規(guī)范信息系統(tǒng)主機上架前的檢測，對信息安全的管理是一種創(chuàng)新的嘗試，也是安全管理中位于未雨綢繆的體現(xiàn)。

一、漏洞掃描系統(tǒng)的構(gòu)建

（一）漏洞掃描工具的作用

漏洞掃描工具采用高效、智能的漏洞識別技術(shù)，第一時間主動對網(wǎng)絡(luò)中的資產(chǎn)進(jìn)行細(xì)致深入的漏洞檢測、分析，并提供專業(yè)、有效的漏洞防護建議。

我們采用的漏洞掃描工具的管理是基于Web的管理方式，用戶使用瀏覽器通過SSL加密通道和系統(tǒng)Web界面模塊進(jìn)行交互，采用模塊化設(shè)計。具有優(yōu)化的專用安全系統(tǒng)平臺，具有很高的安全性和穩(wěn)定性。其專用硬件能夠長期穩(wěn)定地運行，很好地保證了任務(wù)的周期性自動處理。能夠自動處理的任務(wù)包括：評估任務(wù)下發(fā)、掃描結(jié)果自動分析、處理和發(fā)送、系統(tǒng)檢測插件的自動升級等。同時支持多用戶管理模式，能夠?qū)τ脩舻臋?quán)限做出嚴(yán)格的限制，通過權(quán)限的劃分可以實現(xiàn)一臺設(shè)備多人的虛擬多機管理，并且提供了登錄、操作和異常等日志審計功能，方便用戶對系統(tǒng)的審計和控制。

在每次安全評估之前，用戶需要根據(jù)自己的業(yè)務(wù)系統(tǒng)確定需要進(jìn)行評估的資產(chǎn)，并且劃分資產(chǎn)的重要性。漏洞掃描系統(tǒng)根據(jù)用戶的資產(chǎn)及其重要性會自動在其內(nèi)部對目標(biāo)評估系統(tǒng)建立基于時間和基于風(fēng)險等多種安全評估模型。在對目標(biāo)完成評估之后，模型輸出的結(jié)果數(shù)據(jù)不但有定性的趨勢分析，而且有定量的風(fēng)險分析，用戶能夠清楚地看到單個資產(chǎn)、整個網(wǎng)絡(luò)的資產(chǎn)存在的風(fēng)險，還能夠看到網(wǎng)絡(luò)中漏洞的分布情況、風(fēng)險級別排名較高的資產(chǎn)、不同操作系統(tǒng)和不同應(yīng)用漏洞分布等詳細(xì)統(tǒng)計信息，用戶能夠很直觀地了解自己網(wǎng)絡(luò)安全狀況。

（二）漏洞掃描工具的部署

針對汕頭供電局的網(wǎng)絡(luò)情況，使用獨立式部署方式。獨立式部署就是在網(wǎng)絡(luò)中部署一臺漏洞掃描設(shè)備。在共享式工作模式下，只要將設(shè)備接入網(wǎng)絡(luò)并進(jìn)行正確的配置即可正常使用，其工作范圍通常包含汕頭供電局的整個網(wǎng)絡(luò)地址，用戶登錄系統(tǒng)并下達(dá)掃描任務(wù)。下圖是漏洞掃描系統(tǒng)獨立式部署模式圖。從圖中可以看出，無論在汕頭供電局何處接入設(shè)備，網(wǎng)絡(luò)都能正常工作，完成對網(wǎng)絡(luò)的安全評估。

圖1：漏洞掃描系統(tǒng)獨立式部署模式圖

（三）漏洞掃描工具的定位

1.利用漏洞掃描工具定期對網(wǎng)絡(luò)信息系統(tǒng)進(jìn)行掃描，以便主動發(fā)現(xiàn)存在的安全隱患和防護漏洞。

2.巡檢服務(wù)中對操作系統(tǒng)修補、加固和優(yōu)化，根據(jù)提供出來的評估報告對相關(guān)系統(tǒng)進(jìn)行打補丁、升級、修補、加固和優(yōu)化，提供詳細(xì)操作報告。

3.巡檢服務(wù)過程中針對網(wǎng)絡(luò)設(shè)備安全加固和優(yōu)化；進(jìn)行修補和加固，按照安全策略進(jìn)行安全配置和優(yōu)化，提供詳細(xì)操作報告。包括：網(wǎng)絡(luò)設(shè)備的安全配置，網(wǎng)絡(luò)設(shè)備的安全加固，網(wǎng)絡(luò)設(shè)備的優(yōu)化配置等。

4.檢服務(wù)過程中對網(wǎng)絡(luò)安全設(shè)備，對所有網(wǎng)絡(luò)邊界進(jìn)行梳理，對邊界安全防護系統(tǒng)的策略進(jìn)行優(yōu)化。通過綜合應(yīng)用防火墻、IPS、防病毒網(wǎng)關(guān)等網(wǎng)絡(luò)安全系統(tǒng)，在區(qū)域邊界實施嚴(yán)密的控制措施，盡量在邊界阻斷來自區(qū)域外的安全威脅，從而最大化地提高電力信息數(shù)據(jù)的安全性和電力信息系統(tǒng)的可用性。

5.巡檢服務(wù)過程中在安全評估的基礎(chǔ)上，對桌面終端和服務(wù)器系統(tǒng)中存在的安全漏洞進(jìn)行修復(fù)。對于無法修復(fù)的漏洞，評價其可能帶來的安全風(fēng)險，并采用周邊網(wǎng)絡(luò)防護系統(tǒng)（如防火墻、IPS等）阻斷可能的攻擊，或通過監(jiān)控等手段對該風(fēng)險進(jìn)行控制管理。

二、服務(wù)器上架漏洞掃描規(guī)范編寫

按照信息安全工作實際需要，以“制度化管理、規(guī)范化操作”為原則，完善信息安全管理策略規(guī)范，理順信息工作內(nèi)部安全控制流程規(guī)范，不斷增強網(wǎng)絡(luò)與信息安全整體管控效能。為更好的保障汕頭供電局信息網(wǎng)絡(luò)的安全、穩(wěn)定運行，使得漏洞掃描工具能真正的用到實處，特制訂漏洞系統(tǒng)管理流程。如下圖：

圖2：每季度漏洞掃描流程圖

圖3：新服務(wù)器上架前漏洞掃描流程圖

（一）漏洞掃描管理員的職責(zé)

負(fù)責(zé)漏洞掃描軟件（包括漏洞庫）的管理、更新和公布；

負(fù)責(zé)查找修補漏洞的補丁程序，及時提出漏洞修復(fù)方案；

密切注意最新漏洞的發(fā)生、發(fā)展情況，關(guān)注和追蹤業(yè)界公布的漏洞疫情；

每季度第一個月1-4日期間（節(jié)假日順推）進(jìn)行上季度安全掃描復(fù)查；

每季度第一個月5號（節(jié)假日順推）生成上季度匯總報告；

新系統(tǒng)上線前，負(fù)責(zé)對系統(tǒng)管理員提出的申請的主機進(jìn)行漏洞掃描檢查，并提交漏洞掃描報告給系統(tǒng)管理員，并檢查主機漏洞修補情況。

（二）系統(tǒng)管理員的職責(zé)

負(fù)責(zé)對漏洞掃描系統(tǒng)發(fā)現(xiàn)的漏洞進(jìn)行修補工作；

遵守漏洞掃描設(shè)備各項管理規(guī)范。

新系統(tǒng)上線前，提交掃描申請，并負(fù)責(zé)對漏洞掃描系統(tǒng)發(fā)現(xiàn)的漏洞進(jìn)行修補工作。

三、結(jié)束語

第3篇：信息安全服務(wù)評估報告范文

在科學(xué)技術(shù)如此發(fā)達(dá)的今天,網(wǎng)絡(luò)已經(jīng)成為了生活中不可或缺的一部分,但是網(wǎng)絡(luò)帶給我們的就只有優(yōu)點嗎？很顯然答案是否定的,網(wǎng)絡(luò)帶給我們的缺點大家也應(yīng)該早有體會,我們所接觸到、影響最深的應(yīng)該就是信息安全問題了。在新聞中網(wǎng)絡(luò)個人信息被盜造成損害的案例已經(jīng)屢見不鮮,本文將以此為研究點,以信息安全控制原理為基礎(chǔ),對信息安全中常見的存在問題進(jìn)行研究,并介紹與信息安全相關(guān)的技術(shù)和方法。

關(guān)鍵詞:

信息安全網(wǎng)絡(luò)控制

1信息安全控制原理

1.1信息安全

信息是一種資源,它具有增值性、多效性、普遍性和可處理性,這使得對人類具有非常重要的意義。信息安全就是確保網(wǎng)絡(luò)信息資源的安全和信息系統(tǒng)的安全,避免受到外界各種干擾和侵害,換而言之就是確保安全。信息安全在國際標(biāo)準(zhǔn)化組織是這樣定義的:指信息的完整性、可靠性、可用性和保密性。

1.2自動控制原理

所謂自動控制就是指在沒有人直接參與的情況下,控制裝置或者控制器能夠按照預(yù)先設(shè)定的規(guī)律使機器、設(shè)備或者生產(chǎn)過程(統(tǒng)稱為被控對象)的某個工作狀態(tài)或者參數(shù)(即控制量)自動地運行。自動控制系統(tǒng)(automaticcontrolsystems)是在沒有人直接參與的時候可使工作過程或其他過程按預(yù)期的規(guī)律或預(yù)想程序進(jìn)行的系統(tǒng)控制。自動化控制系統(tǒng)是實現(xiàn)自動化的重要手段。

1.3信息安全控制控制原理

信息安全控制與自動控制有著密不可分的關(guān)系,因為信息的特殊性質(zhì)導(dǎo)致信息系統(tǒng)具有變化的不定性,進(jìn)而導(dǎo)致整個信息系統(tǒng)的安全控制都會隨著信息不斷變化,另外信息系統(tǒng)在變化過程中不僅會受到外界系統(tǒng)的攻擊和影響,其系統(tǒng)內(nèi)部的缺陷也會威脅其系統(tǒng)安全。所以信息安全系統(tǒng)的建立必須要完善,從外部和內(nèi)部多個層面進(jìn)行全方位的因素考慮。信息安全控制主要是為了有效控制信息系統(tǒng)存在的內(nèi)在威脅和外界的惡意攻擊。所以信息安全控制的主要措施是:對于系統(tǒng)內(nèi)部,要盡可能的切斷一切潛在危險源;對于系統(tǒng)外部,建立完善的信息安全控制體系。對于信息系統(tǒng)而言,安全控制策略庫的建立可以讓信息系統(tǒng)的運行在可控范圍內(nèi)進(jìn)行,從而使信息威脅程度降低最低,這樣就可以保證信息系統(tǒng)的安全性。

2加密技術(shù)

2.1事件監(jiān)控

安全監(jiān)控子系統(tǒng)實時收集日志信息進(jìn)行存儲與分析,當(dāng)發(fā)現(xiàn)高危安全事件時,采用聲、光、短信的方式在管理員界面中呈現(xiàn)給安全監(jiān)控人員,安全監(jiān)控人員對安全事件的級別和影響進(jìn)行評估,判斷為嚴(yán)重事件時則啟動工單系統(tǒng)通知客服人員,由客服人員向客戶發(fā)送預(yù)警信息;若事件未達(dá)到預(yù)警級別,則安全監(jiān)控人員創(chuàng)建工單,通知安全分析人員做處理。

2.2安全分析

安全分析人員對非預(yù)警安全事件進(jìn)行分析,排除誤警虛警信息,嘗試解決可處理安全事件。判斷為不能處理的安全事件和經(jīng)嘗試不能解決的安全事件,提交運維經(jīng)理,請經(jīng)理協(xié)調(diào)各方資源協(xié)助解決。如資源難以協(xié)調(diào)則繼續(xù)向上一級主管領(lǐng)導(dǎo)發(fā)起協(xié)調(diào)資源請求,直至問題解決。經(jīng)過安全分析人員對攻擊數(shù)據(jù)包進(jìn)行分析,迅速判斷出此次攻擊主要針對80端口的ddos攻擊,遭受攻擊的網(wǎng)站由于資源消耗過大而無法再給用戶提供正常的頁面訪問。由于世博業(yè)務(wù)可持續(xù)性運行的重要性,于是決定本著"先搶通后修復(fù)"的原則,先利用防火墻、utm制定相應(yīng)的安全策略協(xié)助該單位恢復(fù)系統(tǒng)正常工作。同時運維人員根據(jù)安全事件對該風(fēng)險進(jìn)行評估,確定攻擊類型、波及范圍及造成的影響,并制定都詳細(xì)的加固解決方案。

2.3安全預(yù)警

安全監(jiān)控平臺發(fā)現(xiàn)客戶網(wǎng)絡(luò)出現(xiàn)高危安全事件時,安全專家團隊子系統(tǒng)的安全分析人員,根據(jù)事件信息確定預(yù)警級別,通過工單系統(tǒng)向網(wǎng)絡(luò)管理員提交預(yù)警信息。若預(yù)警級別較高,則通報給相關(guān)主管領(lǐng)導(dǎo)、同時發(fā)起預(yù)警,同時派遣專業(yè)人員協(xié)助處理安全事件。

2.分析報告

安全運維小組事后給用戶提供了一份詳細(xì)的事情分析報告,報告中包括記錄文檔和安全策略的建議,此份建議中多次提到安全技術(shù)使用不夠完善的問題,雖然有防毒系統(tǒng)和防火前,但是沒有利用更大的資源解決網(wǎng)絡(luò)安全問題。報告的意義是讓客戶知道問題出在哪里,在哪里容易出問題,怎么解決已經(jīng)出現(xiàn)的問題,今后應(yīng)該如何防范。

2.5加固測試

根據(jù)安全評估報告協(xié)助用戶對系統(tǒng)自身的安全漏洞進(jìn)行修補,并對加固后的系統(tǒng),進(jìn)行模擬測試。安全專家模擬黑客攻擊的方式對用戶指定的ip地址采用工具和人工檢查相結(jié)合的辦法進(jìn)行遠(yuǎn)程安全測試,評估加固后的系統(tǒng)是否達(dá)到安全要求。防火墻策略生效之后,攻擊逐漸減弱,通過外網(wǎng)訪問web服務(wù)器,速度正常。至此初步判斷,由于防火墻、umt的防護和安全監(jiān)控平臺監(jiān)測,已經(jīng)令惡意攻擊者知難而退,暫時停止實施攻擊。經(jīng)過現(xiàn)場一段時間的觀察客戶網(wǎng)絡(luò)正常運行,后期運維小組重點對該網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程監(jiān)控跟蹤。

2.6形成知識庫

將此次安全事件發(fā)現(xiàn)、分析、解決的過程以知識庫的形式保存,以便下次同類問題的快速處理及客戶人員的自學(xué)習(xí)。根據(jù)統(tǒng)計,不僅中國在盡力打造信息安全網(wǎng)絡(luò),在世博會期間,浙江聯(lián)通也退出了很多項創(chuàng)新業(yè)務(wù)支撐網(wǎng)絡(luò)安全。為保證世博會此項工作的順利進(jìn)行,聯(lián)通的營業(yè)廳及多個服務(wù)店、10010客服熱線、投訴、vip貴賓服務(wù)、電子渠道等方面,在人性化、便捷化、差異化方面做出巨大改變,最終使得用戶能充分信息安全的基礎(chǔ)上,享受了更大的便捷與自由。

參考文獻(xiàn)

[1]張淑媛.基于信息安全控制原理的安全網(wǎng)絡(luò)技術(shù)[J].技術(shù)研發(fā),2013(18).

第4篇：信息安全服務(wù)評估報告范文

2005年7月，美國聯(lián)邦政府審計署向美國國會提交了《信息安全年度報告》（以下簡稱美國報告），其題目是《信息安全：相關(guān)法規(guī)執(zhí)行方面有所成就，但是仍然存在薄弱之處》。美國報告指出，聯(lián)邦政府各個分支機構(gòu)以及眾多事關(guān)國計民生的部門，包括能源、供水、電信、國防以及應(yīng)急服務(wù)部門，他們的日常工作已經(jīng)廣泛依賴計算機信息系統(tǒng)以及電子數(shù)據(jù)。這些信息系統(tǒng)、數(shù)據(jù)的安全非常重要，信息安全措施要防止數(shù)據(jù)篡改，保證核心業(yè)務(wù)連續(xù)性，預(yù)防數(shù)據(jù)欺騙以及阻止敏感信息泄漏。

美國政務(wù)的五大安全隱患

美國審計署發(fā)現(xiàn)，美國聯(lián)邦政府24個部門信息系統(tǒng)普遍存在安全隱患，主要體現(xiàn)在以下5個方面：訪問控制并未有效實施、軟件變更控制并非總是有效、職責(zé)劃分沒有始終如一地執(zhí)行、業(yè)務(wù)持續(xù)性計劃經(jīng)常是不充分的、部門信息安全規(guī)劃沒有全面地應(yīng)用。

訪問控制

它保證只有經(jīng)過授權(quán)的用戶才可以閱讀、修改或者刪除數(shù)據(jù)。訪問控制包括電子方式以及物理方式，前者包括賬號控制、密碼控制以及用戶權(quán)限控制，后者包括門衛(wèi)、門鎖等方式。24個部門中有23個部門在訪問控制方面存在隱患。例如，有的信息系統(tǒng)允許用戶使用非常簡單的詞語做密碼，這使得黑客很容易破解密碼。物理控制方面，有的部門并未有效采用門鎖、門卡等手段。

軟件變更控制

軟件變更控制確保只有經(jīng)過授權(quán)的軟件程序才可以被安裝，軟件變更控制也會監(jiān)控敏感程序、數(shù)據(jù)的使用情況。24個部門中有22個存在這方面的漏洞，例如軟件系統(tǒng)沒有采用正確流程進(jìn)行升級。此外，有的信息系統(tǒng)在程序調(diào)整方面的批準(zhǔn)、測試以及實施的文檔記錄沒有良好維護，以至于出錯的或者有預(yù)謀的程序?qū)?yán)重威脅到系統(tǒng)安全。

職責(zé)劃分

職責(zé)劃分降低個人進(jìn)行錯誤操作而沒有被發(fā)現(xiàn)的風(fēng)險。24個部門中有14個存在這方面的隱患，主要體現(xiàn)在系統(tǒng)管理和系統(tǒng)安全管理沒有很好地分清。例如，有的部門用戶可以在系統(tǒng)中添加并不存在的賬號并獲得很高的權(quán)限，用這個賬號從事的活動沒人監(jiān)管。

業(yè)務(wù)連續(xù)計劃

確保計算機相關(guān)的業(yè)務(wù)在緊急情況下不出現(xiàn)嚴(yán)重中斷，例如出現(xiàn)地震、火災(zāi)等破壞活動的時候。20個部門存在這一方面的隱患。在審計署2005年4月提交的報告中已經(jīng)指出，不到一半的部門有應(yīng)急指揮通訊錄，很少的部門記錄了重要文件分布情況，大多數(shù)機構(gòu)沒有測試、檢驗、演習(xí)他們的業(yè)務(wù)連續(xù)計劃以確保災(zāi)難發(fā)生時可以應(yīng)用這些計劃。

部門級別的安全規(guī)劃

上述問題的存在，主要是因為各個部門沒有強有力的信息安全管理規(guī)劃。部門級別的安全規(guī)劃提供工作框架，確保全部門能夠理解風(fēng)險并且有效控制、合理采取措施。這個方面，所有的部門都存在隱患，他們都沒有制定全面的信息安全規(guī)劃，尤其是新型的安全威脅方面，包括垃圾郵件、釣魚以及間諜程序。

我國可借鑒什么

我國在信息系統(tǒng)安全管理方面開展工作的時間不長，相關(guān)經(jīng)驗不多，許多應(yīng)建立的規(guī)章制度還在摸索之中。2005年7月剛剛的《2005中國信息化發(fā)展報告》談到信息安全的時候，提到蠕蟲和病毒在網(wǎng)上傳播十分猖獗、木馬事件潛在威脅巨大、各類網(wǎng)絡(luò)違法犯罪日益突出，但沒有專門介紹電子政務(wù)的安全現(xiàn)狀。

重視管理機制制度

《2005中國信息化發(fā)展報告》指出，要加強對信息安全工作的領(lǐng)導(dǎo)，建立健全信息安全領(lǐng)導(dǎo)責(zé)任機制，明確主管領(lǐng)導(dǎo)，落實責(zé)任部門，建立和完善信息安全監(jiān)控體系，加強以密碼技術(shù)為基礎(chǔ)的信息保護和網(wǎng)絡(luò)信任體系的建設(shè)。

重視管理機制制度這一方面，中美兩國有相近之處。美國《聯(lián)邦信息安全管理法案》認(rèn)為，聯(lián)邦政府存在信息安全隱患最根本原因是缺乏有效的信息安全管理規(guī)劃?；诖?，美國《聯(lián)邦信息安全管理法案》要求政府建立一套全面的信息安全控制管理框架。不僅如此，考慮到各個機構(gòu)在信息安全管理規(guī)劃方面難免出現(xiàn)漏洞，美國《聯(lián)邦信息安全管理法案》制定了一套完善的評估機制，包括部門定期自檢以及管理和預(yù)算辦公室、國家標(biāo)準(zhǔn)技術(shù)研究院以及其他獨立機構(gòu)的評估。

《聯(lián)邦信息安全管理法案》要求美國聯(lián)邦政府各個機構(gòu)的信息安全報告包含如下信息：風(fēng)險評估情況、政策和流程、個別系統(tǒng)的安全規(guī)劃、相關(guān)培訓(xùn)情況、年度測試和評估情況、采取的對策、信息安全事件報告以及運行連續(xù)性。

美國的評估機制，保證了部門領(lǐng)導(dǎo)在意識上定期關(guān)注各自部門的信息安全，又使得他們有能力全面深入了解本部門信息安全的方方面面。這樣，既提高了部門領(lǐng)導(dǎo)對信息安全的重視程度，又采用完善的制度來提高各個部門發(fā)現(xiàn)、報告和共享信息安全隱患的能力。與美國相比，我們還沒有明確提出要建立全方位的評估體系。

完善標(biāo)準(zhǔn)法規(guī)體系

《2005中國信息化發(fā)展報告》指出，抓緊制定信息安全等級保護的管理辦法和技術(shù)指南，建立信息安全等級保護制度，加強信息安全法制建設(shè)和標(biāo)準(zhǔn)化建設(shè)。

在標(biāo)準(zhǔn)法規(guī)、技術(shù)指南方面，我國政府主要精力集中在信息安全等級保護方面。比較而言，美國政府制訂的標(biāo)準(zhǔn)法規(guī)、技術(shù)指南則更為全面。美國《聯(lián)邦信息安全管理法案》規(guī)定，由美國國家標(biāo)準(zhǔn)技術(shù)研究院（NIST）負(fù)責(zé)為政府各個部門提供相關(guān)法規(guī)制度或技術(shù)援助，進(jìn)行信息安全方面的研究，并且參與國家安全體系相關(guān)標(biāo)準(zhǔn)的開發(fā)。

安全不僅是技術(shù)問題，同時還是社會和法律問題。與美國相比，我國在標(biāo)準(zhǔn)的制定、認(rèn)證、檢測等方面有待于進(jìn)一步的加強。信息安全標(biāo)準(zhǔn)方面，我國有國家信息安全產(chǎn)品測評認(rèn)證中心、公安部、國家質(zhì)量技術(shù)監(jiān)督局等多個部門參與這方面的工作，而美國則在法案中明確表示由美國國家標(biāo)準(zhǔn)技術(shù)研究院一家來完成。還有一點值得注意的是，我國信息安全標(biāo)準(zhǔn)的培訓(xùn)、認(rèn)證和檢測機構(gòu)中，有一些是贏利機構(gòu)，這在某種程度上降低了其公證性。

加強信息安全培訓(xùn)

《2005中國信息化發(fā)展報告》指出，加強信息安全學(xué)科、人才培養(yǎng)。

聯(lián)邦信息安全管理法案要求，聯(lián)邦政府各個機構(gòu)對政府雇員以及合同商的雇員進(jìn)行信息安全培訓(xùn)，這些機構(gòu)在年度評估報告中要標(biāo)明參與培訓(xùn)人員的數(shù)量以及所占比例。2005年的報告指出，所有24個部門都對本部門60％以上的職員進(jìn)行了培訓(xùn)。美國報告指出，如果不能提供最新的信息安全培訓(xùn)，將會給政府機構(gòu)的信息安全帶來安全隱患。例如，美國大多數(shù)部門沒有對雇員提供無線局域網(wǎng)方面的信息安全培訓(xùn)，這使得他們在建設(shè)沒有認(rèn)證措施的無線局域網(wǎng)的時候，不了解其安全隱患。

由此可見，美國政府更注重日常的培訓(xùn)工作，而不僅僅是學(xué)校培養(yǎng)。信息安全，需要有數(shù)學(xué)算法、軟件、硬件等諸多方面的理論支持。但對于很多現(xiàn)有的隱患來說，更重要的是提高普通用戶的安全意識。例如美國政府提到的無線局域網(wǎng)問題，我國政府在科研方面正在開發(fā)WAPI，希望以此來增強系統(tǒng)的安全性。但是，有許多無線局域網(wǎng)是內(nèi)置了安全認(rèn)證程序而根本沒有啟用。

信息安全是個系統(tǒng)工程，既要有高屋建瓴的頂層設(shè)計、整體框架，又要有體貼入微的法規(guī)標(biāo)準(zhǔn)、行動指南，還要有資金支持、日常培訓(xùn)以及監(jiān)察制度，需要恩威并重。同美國信息安全報告談到的情況相比，在我國政府部門中宣傳信息安全的重要性，并且保證相關(guān)人員有能力、有方法了解其現(xiàn)狀，懂得如何降低風(fēng)險，這些都是任重而道遠(yuǎn)的。

鏈接

國家信息化領(lǐng)導(dǎo)小組第一次會議決定，把電子政務(wù)建設(shè)作為今后一個時期我國信息化工作的重點，政府先行，帶動國民經(jīng)濟和社會發(fā)展信息化。

在電子政務(wù)建設(shè)中和安全相關(guān)的主要任務(wù)是：

基本建立電子政務(wù)網(wǎng)絡(luò)與信息安全保障體系。要組織建立我國電子政務(wù)網(wǎng)絡(luò)與信息安全保障體系框架，逐步完善安全管理體制，建立電子政務(wù)信任體系，加強關(guān)鍵性安全技術(shù)產(chǎn)品的研究和開發(fā)，建立應(yīng)急支援中心和數(shù)據(jù)災(zāi)難備份基礎(chǔ)設(shè)施。

第5篇：信息安全服務(wù)評估報告范文

隨著信息安全等級保護工作的不斷深化，已延伸到醫(yī)療衛(wèi)生行業(yè)。衛(wèi)計委要求三級醫(yī)院核心業(yè)務(wù)系統(tǒng)定級不低于第三級。本文結(jié)合醫(yī)院實際，介紹了醫(yī)院信息安全等級保護工作的建設(shè)，闡明了信息系統(tǒng)的定級、備案、整改、測評四個實施步驟，以供大家探討。

關(guān)鍵詞：

醫(yī)院信息安全；等級保護工作；等級測評

一、引言

隨著我國信息化建設(shè)的快速發(fā)展與廣泛應(yīng)用，信息安全的重要性愈發(fā)突出。在國家重視信息安全的大背景下，推出了信息安全等級保護制度。為統(tǒng)一管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，公安部等四部委聯(lián)合了《信息安全等級保護管理辦法》（公通字[2007]43號）。隨著等級保護工作的深入開展，原衛(wèi)生部制定了《衛(wèi)生行業(yè)信息安全等級保護工作的指導(dǎo)意見》（衛(wèi)辦發(fā)[2011]85號），進(jìn)一步規(guī)范和指導(dǎo)了我國醫(yī)療衛(wèi)生行業(yè)信息安全等級保護工作，并對三級甲等醫(yī)院核心業(yè)務(wù)信息系統(tǒng)的安全等級作了要求，原則上不低于第三級。從《關(guān)于信息安全等級保護工作的實施意見》中可知信息安全等級保護對象是國家秘密信息、法人和其他組織以及公民的專有信息和公開信息。對信息系統(tǒng)及其安全產(chǎn)品進(jìn)行等級劃分，并按等級對信息安全事件響應(yīng)[1]。

二、醫(yī)院信息安全等級保護工作實施步驟

2.1定級與備案[2]。

根據(jù)公安部信息安全等級保護評估中心編制的《信息安全等級保護政策培訓(xùn)教程》，有兩個定級要素決定了信息系統(tǒng)的安全保護等級，一個是等級保護對象受到破壞時所侵害的客體，另外一個是對客體造成侵害的程度。對于三級醫(yī)院，門診量與床位相對較多，影響范圍較廣，一旦信息系統(tǒng)遭到破壞，將會給患者造成生命財產(chǎn)損失，對社會秩序帶來重大影響。因此，從影響范圍和侵害程度來看，我們非常認(rèn)同國家衛(wèi)計委對三級甲等醫(yī)院的核心業(yè)務(wù)信息系統(tǒng)安全等級的限制要求。在完成定級報告編制工作后，填寫備案表，并按屬地化管理要求到市級公安機關(guān)辦理備案手續(xù)，在取得備案回執(zhí)后才算完成定級備案工作。我院已按照要求向我市公安局網(wǎng)安支隊，同時也是我市信息安全等級保護工作領(lǐng)導(dǎo)小組辦公室，提交了定級報告與備案表。

2.2安全建設(shè)與整改[3]。

在完成定級備案后，就要結(jié)合醫(yī)院實際，分析信息安全現(xiàn)狀，進(jìn)行合理規(guī)劃與整改。

2.2.1等保差距分析與風(fēng)險評估。

了解等級保護基本要求?！缎畔⑾到y(tǒng)安全等級保護基本要求》分別從技術(shù)和管理兩方面提出了基本要求?；炯夹g(shù)要求包括五個方面：物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全和數(shù)據(jù)安全，主要是由在信息系統(tǒng)中使用的網(wǎng)絡(luò)安全產(chǎn)品（包括硬件和軟件）及安全配置來實現(xiàn)；基本管理要求也包括五個方面：安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運維管理，主要是根據(jù)相關(guān)政策、制度以及規(guī)范流程等方面對人員活動進(jìn)行約束控制，以期達(dá)到安全管理要求[4]。技術(shù)類安全要求按保護側(cè)重點進(jìn)一步劃分為三類：業(yè)務(wù)信息安全類（S類）、系統(tǒng)服務(wù)安全類（A類）、通用安全保護類（G類）。如受條件限制，可以逐步完成三級等級保護，A類和S類有一類滿足即可，但G類必須達(dá)到三級，最嚴(yán)格的G3S3A3控制項共計136條[5]。醫(yī)院可以結(jié)合自身建設(shè)情況，選擇其中一個標(biāo)準(zhǔn)進(jìn)行差距分析。管理方面要求很嚴(yán)格，只有完成所有的154條控制項，達(dá)到管理G3的要求，才能完成三級等級保護要求。這需要我們逐條對照，發(fā)現(xiàn)醫(yī)院安全管理中的不足與漏洞，找出與管理要求的差距。對于有條件的三甲醫(yī)院，可以先進(jìn)行風(fēng)險評估，通過分析信息系統(tǒng)的資產(chǎn)現(xiàn)狀、安全脆弱性及潛在安全威脅，形成《風(fēng)險評估報告》。經(jīng)過與三級基本要求對照，我院還存在一定差距。比如：在物理環(huán)境安全方面，我院機房雖有滅火器，但沒安裝氣體滅火裝置。當(dāng)前的安全設(shè)備產(chǎn)品較少，不能很好的應(yīng)對網(wǎng)絡(luò)入侵。在運維管理方面，缺乏預(yù)警機制，無法提前判斷系統(tǒng)潛在威脅等。

2.2.2建設(shè)整改方案。

根據(jù)差距分析情況，結(jié)合醫(yī)院信息系統(tǒng)安全實際需求和建設(shè)目標(biāo)，著重于保證業(yè)務(wù)的連續(xù)性與數(shù)據(jù)隱私方面，滿足于臨床的實際需求，避免資金投入的浪費、起不到實際效果。整改方案制訂應(yīng)遵循以下原則：安全技術(shù)和安全管理相結(jié)合，技術(shù)作保障，管理是更好的落實安全措施；從安全區(qū)域邊界、安全計算環(huán)境和安全通信網(wǎng)絡(luò)進(jìn)行三維防護，建立安全管理中心[6]。方案設(shè)計完成后，應(yīng)組織專家或經(jīng)過第三方測評機構(gòu)進(jìn)行評審，以保證方案的可用性。整改方案實施。實施過程中應(yīng)注意技術(shù)與管理相結(jié)合，并根據(jù)實際情況適當(dāng)調(diào)整安全措施，提高整體保護水平。我院整改方案是先由醫(yī)院內(nèi)部自查，再邀請等級測評公司進(jìn)行預(yù)測評，結(jié)合醫(yī)院實際最終形成的方案。網(wǎng)絡(luò)技術(shù)人員熟悉系統(tǒng)現(xiàn)狀，易于發(fā)現(xiàn)潛在安全威脅，所以醫(yī)院要先自查，對自身安全進(jìn)行全面了解。等級測評公司派專業(yè)安全人員進(jìn)駐醫(yī)院，經(jīng)過與醫(yī)院技術(shù)人員溝通，利用安全工具進(jìn)行測試，可以形成初步的整改報告，對我院安全整改具有指導(dǎo)意義。

2.3開展等級保護測評[7]。

下一步工作就是開展等級測評。在測評機構(gòu)的選擇上，首先要查看其是否具有“DICP”認(rèn)證，有沒有在當(dāng)?shù)毓膊块T進(jìn)行備案，還可以到中國信息安全等級保護網(wǎng)站進(jìn)行核實。測評周期一般為1至2月，其測評流程如下。

2.3.1測評準(zhǔn)備階段。

醫(yī)院與測評機構(gòu)共同成立項目領(lǐng)導(dǎo)小組，制定工作任務(wù)與測評計劃等前期準(zhǔn)備工作。項目啟動前，為防止醫(yī)院信息泄露，還需要簽訂保密協(xié)議。項目啟動后，測評機構(gòu)要進(jìn)行前期調(diào)研，主要是了解醫(yī)院信息系統(tǒng)的拓?fù)浣Y(jié)構(gòu)、設(shè)備運行狀況、信息系統(tǒng)應(yīng)用情況及安全管理等情況，然后再選擇相應(yīng)的測評工具和文檔。在測評準(zhǔn)備階段，主要是做好組織機構(gòu)建設(shè)工作，配合等級測評公司人員的調(diào)查工作。

2.3.2測評方案編制階段。

測評內(nèi)容主要由測評對象與測評指標(biāo)來確定。我院測評對象包含三級的醫(yī)院信息系統(tǒng)、基礎(chǔ)網(wǎng)絡(luò)和二級的門戶網(wǎng)站。測評機構(gòu)要與醫(yī)院溝通，制定工具測試方法與測評指導(dǎo)書，編制測評方案。在此階段，主要工作由等級測評機構(gòu)來完成。

2.3.3現(xiàn)場測評階段。

在經(jīng)過實施準(zhǔn)備后，測評機構(gòu)要對上述控制項進(jìn)行逐一測評，大約需要1至2周，需要信息科人員密切配合與注意。為保障醫(yī)院業(yè)務(wù)正常開展，測評工作應(yīng)盡量減少對業(yè)務(wù)工作的沖擊。當(dāng)需要占用服務(wù)器和網(wǎng)絡(luò)資源時應(yīng)避免業(yè)務(wù)高峰期，可以選擇下班時間或晚上。為避免對現(xiàn)有業(yè)務(wù)造成影響，測評工具應(yīng)在接入前進(jìn)行測試，同時要做好應(yīng)急預(yù)案準(zhǔn)備，一旦影響醫(yī)院業(yè)務(wù)，應(yīng)立即啟動應(yīng)急預(yù)案[8]。在對209條控制項進(jìn)行測評后應(yīng)進(jìn)行結(jié)果確認(rèn)，并將資料歸還醫(yī)院。該階段是從真實情況中了解信息系統(tǒng)全面具體的主要工作，也是技術(shù)人員比較辛苦的階段。除了要密切配合測評，還不能影響醫(yī)院業(yè)務(wù)開展，除非必要，不然安全測試工作必須在夜間進(jìn)行。

2.3.4報告編制階段。

通過判定測評單項，測評機構(gòu)對單項測評結(jié)果進(jìn)行整理，逐項分析，最終得出整體測評報告。測評報告包含了醫(yī)院信息安全存在的潛在威脅點、整改建議與最終測評結(jié)果[9]。對于公安機關(guān)來講，醫(yī)院能否通過等級測評的主要標(biāo)準(zhǔn)就是測評結(jié)果。因此，測評報告的結(jié)果至關(guān)重要。測評結(jié)果分為：不符合、部分符合、全部符合。有的測評機構(gòu)根據(jù)單項測評結(jié)果進(jìn)行打分，最后給出總分，以分值來判定是否通過測評。為得到理想測評結(jié)果，需要醫(yī)院落實安全整改方案。

2.4安全運維。

我們必須清醒地認(rèn)識到，實施安全等級保護是一項長期工作，它不僅要在信息化建設(shè)規(guī)劃中考慮，還要在日常運維管理中重視，是不斷循環(huán)的過程。按照等級保護制度要求，信息系統(tǒng)等級保護級別定為三級的三甲醫(yī)院每年要自查一次，還要邀請測評機構(gòu)進(jìn)行測評并進(jìn)行整改，監(jiān)管部門每年要抽查一次。因此，醫(yī)院要按照PDCA的循環(huán)工作機制，不斷改進(jìn)安全技術(shù)與管理上，完善安全措施，更好地保障醫(yī)院信息系統(tǒng)持續(xù)穩(wěn)定運行[10]。

三、結(jié)語

醫(yī)院信息安全工作是信息化建設(shè)的一部分，是一項長期的系統(tǒng)工程，需要分批分期的循序改建。還要結(jié)合醫(yī)院實際，考慮安全產(chǎn)品的實用性，不能盲目的進(jìn)行投資。醫(yī)院通過實施等級保護工作，可以有效增強網(wǎng)絡(luò)與信息系統(tǒng)整體安全性，有力保障醫(yī)院各項業(yè)務(wù)的持續(xù)開展，適應(yīng)醫(yī)院信息化不斷發(fā)展的需求。

作者：王磊 單位：蚌埠醫(yī)學(xué)院第二附屬醫(yī)院

參考文獻(xiàn)

[1]公安部,國家保密局,國家密碼管理局,國務(wù)院信息化辦公室文件.關(guān)于信息安全等級保護工作的實施意見（公通字[2004]66號）[R],2004-9-15.

[2]GB/T22240-2008．信息安全技術(shù)信息系統(tǒng)安全等級保護定級指南[S],2008-06-19.

[3]GB/T25058-2010．信息安全技術(shù)信息系統(tǒng)安全等級保護實施指南[S],2010-09-02.

[4]GB/T22239-2008．信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求[S],2008-06-19.

[5]魏世杰.醫(yī)院信息安全等級保護三級建設(shè)思路[J].科技傳播,2013,5(99):208-209.

[6]張濱.構(gòu)建醫(yī)院信息安全等級保護縱深防護體系[J].信息通信,2014(141):148-149.

[7]GB/T28449-2012.信息安全技術(shù)信息系統(tǒng)安全等級保護測評過程指南[S],2012-06-29.

[8]姚紅磊,楊文.三級系統(tǒng)信息安全等級保護測評指標(biāo)體系研究[J].鐵路計算機應(yīng)用,2015,24(2):59-61.

第6篇：信息安全服務(wù)評估報告范文

【關(guān)鍵詞】風(fēng)險管理；建立背景；風(fēng)險評估；風(fēng)險處置；批準(zhǔn)監(jiān)督；監(jiān)控審查；溝通咨詢；系統(tǒng)生命周期

當(dāng)今我們是如何看待網(wǎng)絡(luò)與信息化？對個人，人需要信息化還是信息化“綁架”人？對企事業(yè)單位和社會團體，組織依賴信息化還是信息化成就組織？對經(jīng)濟發(fā)展，經(jīng)濟發(fā)展帶動了信息技術(shù)還是信息技術(shù)促進(jìn)了經(jīng)濟發(fā)展？對社會穩(wěn)定，信息化的發(fā)展對社會穩(wěn)定的影響是正面的還是負(fù)面的？對國家安全，信息化是國家安全的利器還是禍害？沒有標(biāo)準(zhǔn)答案，但值得思考。檢察業(yè)務(wù)系統(tǒng)風(fēng)險管理的內(nèi)容有哪些呢？我們作了以下的探討：

1.風(fēng)險管理的基本架構(gòu)與概念

1.1 風(fēng)險管理的基本架構(gòu)（如圖1-1所示）

1.2 風(fēng)險管理工作內(nèi)容

1.2.1 風(fēng)險管理工作主要內(nèi)容有：建立背景、風(fēng)險評估、風(fēng)險處置、批準(zhǔn)監(jiān)督、監(jiān)控審查、溝通咨詢（如圖1-2所示）。

1.2.2 系統(tǒng)生命周期中的風(fēng)險管理：掌握系統(tǒng)規(guī)劃階段的風(fēng)險管理工作；掌握系統(tǒng)設(shè)計階段的風(fēng)險管理工作；掌握系統(tǒng)實施階段的風(fēng)險管理工作；掌握系統(tǒng)運行維護階段的風(fēng)險管理工作；掌握系統(tǒng)廢棄階段的風(fēng)險管理工作（如圖1-3所示）。

信息安全風(fēng)險管理是信息安全保障工作中的一項基礎(chǔ)性工作，是需要貫穿信息系統(tǒng)生命周期，持續(xù)進(jìn)行的工作。我們的檢察業(yè)務(wù)系統(tǒng)是順應(yīng)信息化發(fā)展及業(yè)務(wù)需求的實際情況，經(jīng)過檢察系統(tǒng)多部門合作開發(fā)的符合全國檢察業(yè)務(wù)需求的背景下建立的。那么我們應(yīng)該要掌握一套完善的管理方式去做好這件事。那就是要學(xué)會風(fēng)險管理運用好風(fēng)險管理的實質(zhì)內(nèi)容。

1.3 相關(guān)概念

1.3.1 通用風(fēng)險管理定義是指如何在一個肯定有風(fēng)險的環(huán)境里把風(fēng)險減至最低的管理過程。風(fēng)險管理包括對風(fēng)險的量度、評估和應(yīng)變策略。理想的風(fēng)險管理，是一連串排好優(yōu)先次序的過程，使引致最大損失及最可能發(fā)生的事情優(yōu)先處理、而相對風(fēng)險較低的事情則押后處理。

1.3.2 檢察業(yè)務(wù)系統(tǒng)信息安全工作為什么需要風(fēng)險管理方式？

常見問題：安全投資逐年增加，但看不到收益；按照國家要求或行業(yè)要求開展信息安全工作，但安全事件仍出現(xiàn)；IT安全需求很多，有限的資金應(yīng)優(yōu)先撥向哪個領(lǐng)域；當(dāng)了CIO，時刻擔(dān)心系統(tǒng)出事，無法預(yù)見可能會出什么事。

問題根源淺析：沒有根據(jù)風(fēng)險優(yōu)先級做安全投資規(guī)劃，沒有抓住主要矛盾，導(dǎo)致有限資金的有效利用率低；沒有根據(jù)企業(yè)自身安全需求部署安全控制措施，沒有突出控制高風(fēng)險。決策者沒有看到安全投資收益報告，資金劃撥無參考依據(jù)。沒有殘余風(fēng)險清單，在什么條件可被觸發(fā)，如何做好控制?？偟膩碚f可以概括為以下三點：（1）信息安全風(fēng)險和事件不可能完全避免，沒有絕對的安全。（2）信息安全是高技術(shù)的對抗，有別于傳統(tǒng)安全，呈現(xiàn)擴散速度快、難控制等特點。（3）因此管理信息安全必須以風(fēng)險管理的方式，關(guān)鍵在于如何控制、化解和規(guī)避風(fēng)險，而不是完全消除風(fēng)險。

風(fēng)險管理是信息安全保障工作有效工作方式。好的風(fēng)險管理過程可以讓機構(gòu)以最具有成本效益的方式運行，并且使已知的風(fēng)險維持在可接受的水平。好的風(fēng)險管理過程使組織可以用一種一致的、條理清晰的方式來組織有限的資源并確定優(yōu)先級，更好地管理風(fēng)險。而不是將保貴的資源用于解決所有可能的風(fēng)險。風(fēng)險管理是一個持續(xù)的PDCA管理過程，即計劃-做-檢查-執(zhí)行循環(huán)的管理過程。也可以這樣理解，在全國使用統(tǒng)一的檢察業(yè)務(wù)系統(tǒng)，做需求分析計劃組織開發(fā)業(yè)務(wù)系統(tǒng)--全國各省市部分基層院試運行使用--檢查業(yè)務(wù)系統(tǒng)的可行性及需要完善的報告--執(zhí)行需要完善的地方繼續(xù)開發(fā)完善。一個持續(xù)的不斷完善的管理過程。

在全國使用統(tǒng)一的檢察業(yè)務(wù)系統(tǒng)，也就會出現(xiàn)數(shù)據(jù)大集中，數(shù)據(jù)大集中天生的脆弱性就是數(shù)據(jù)集中的銷毀或丟失，這就是它與生俱來的風(fēng)險，那么我們認(rèn)識了這一點，就應(yīng)該采用相應(yīng)的技術(shù)措施來控制風(fēng)險。什么是信息安全風(fēng)險管理？了解風(fēng)險+控制風(fēng)險=管理風(fēng)險。定義一：GB/Z 24364《信息安全風(fēng)險管理指南》指：信息安全風(fēng)險管理是識別、控制、消除或最小化可能影響系統(tǒng)資源的不確定因素的過程。定義二：在組織機構(gòu)內(nèi)部識別、優(yōu)化、管理風(fēng)險，使風(fēng)險降低到可接受水平的過程。

1.3.3 正確的風(fēng)險管理方法是前瞻性風(fēng)險管理加反應(yīng)性風(fēng)險管理。

（1）前瞻性風(fēng)險管理：評估風(fēng)險、實施風(fēng)險決策、風(fēng)險控制、評定風(fēng)險管理的有效性。（2）反應(yīng)性風(fēng)險管理：保護人身安全、遏制損害、評估損害、確定損害部位、修復(fù)損害部位、審查響應(yīng)過程并更新安全策略。風(fēng)險管理最佳實踐。簡單的例子：流行性感冒是一種致命的呼吸道疾病，美國每年都會有數(shù)以百萬計的感染者。這些感染者中，至少有100，000人必須入院治療，并且約有36，000人死亡。您可能會選擇通過等待以確定您是否受到感染，如果確實受到感染，則采用服藥治療這種方式來治療疾病。此外，您也可以選擇在流行性感冒病發(fā)季節(jié)開始之前接種疫苗。二者相結(jié)合才是最佳風(fēng)險管理方法。

1.3.4 全國使用統(tǒng)一的檢察業(yè)務(wù)系信息安全風(fēng)險管理的目標(biāo)是它能做好：保密性、完善性、可用性、真實性、抗抵賴性。GB/T 20984的定義，信息安全風(fēng)險：人為或自然的威脅利用信息系統(tǒng)及其管理體系中存在的脆弱性導(dǎo)致安全事件的發(fā)生及其對組織造成的影響。信息安全風(fēng)險是指一種特定的威脅利用一種或一組脆弱性造成組織的資產(chǎn)損失或損害的可能性。信息安全風(fēng)險是指信息資產(chǎn)的保密性、完整性和可用性遭到破壞的可能性。信息安全風(fēng)險只考慮那些對組織有負(fù)面影響的事件。

2.風(fēng)險管理的工作內(nèi)容

2.1 背景建立是信息安全風(fēng)險管理的第一步驟，確定風(fēng)險管理的對象和范圍，確立實施風(fēng)險管理的準(zhǔn)備，進(jìn)行相關(guān)信息的調(diào)查和分析。風(fēng)險管理準(zhǔn)備：確定對象、組建團隊、制定計劃、獲得支持。信息系統(tǒng)調(diào)查：信息系統(tǒng)的業(yè)務(wù)目標(biāo)、技術(shù)和管理上的特點。信息系統(tǒng)分析：信息系統(tǒng)的體系結(jié)構(gòu)、關(guān)鍵要素。信息安全分析：分析安全要求、分析安全環(huán)境。如圖2-1所示。

2.2 信息安全風(fēng)險評估就是從風(fēng)險管理角度，運用科學(xué)的方法和手段，系統(tǒng)地分析信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評估安全事件一旦發(fā)生可能造成的危害程度，提出有針對性的抵御威脅的防護對策和整改措施；為防范和化解信息安全風(fēng)險，將風(fēng)險控制在可接受的水平，從而最大限度地保障信息安全提供科學(xué)依據(jù)。

信息系統(tǒng)的安全風(fēng)險信息是動態(tài)變化的，只有動態(tài)的信息安全評估才能發(fā)現(xiàn)和跟蹤最新的安全風(fēng)險。所以信息安全評估是一個長期持續(xù)的工作，通常應(yīng)該每隔1-3年就進(jìn)行一次全面安全風(fēng)險評估。風(fēng)險評估是分析確定風(fēng)險的過程。風(fēng)險評估的目的是控制風(fēng)險。風(fēng)險評估是風(fēng)險管理的起點和基礎(chǔ)環(huán)節(jié)。風(fēng)險管理是在倡導(dǎo)適度安全。

2.3 風(fēng)險處理是為了將風(fēng)險始終控制在可接受的范圍內(nèi)?，F(xiàn)存風(fēng)險判斷：判斷信息系統(tǒng)中哪些風(fēng)險可以接受，哪些不可以。處理目標(biāo)確認(rèn)：不可接受的風(fēng)險需要控制到怎樣的程度。處理措施選擇：選擇風(fēng)險處理方式，確定風(fēng)險控制措施。處理措施實施：制定具體安全方案，部署控制措施。常用的四類風(fēng)險處置方法如下：

2.3.1 減低風(fēng)險：通過對面臨風(fēng)險的資產(chǎn)采取保護措施來降低風(fēng)險。首先應(yīng)當(dāng)考慮的風(fēng)險處置措施，通常在安全投入小于負(fù)面影響價值的情況下采用。保護措施可以從構(gòu)成風(fēng)險的五個方面（即威脅源、威脅行為、脆弱性、資產(chǎn)和影響）來降低風(fēng)險。減低風(fēng)險辦法：減少威脅源：采用法律的手段制裁計算機犯罪，發(fā)揮法律的威懾作用，從而有效遏制威脅源的動機；減低威脅能力：采取身份認(rèn)證措施，從而抵制身份假冒這種威脅行為的能力；減少脆弱性：及時給系統(tǒng)打補丁，關(guān)閉無用的網(wǎng)絡(luò)服務(wù)端口，從而減少系統(tǒng)的脆弱性，降低被利用的可能性；防護資產(chǎn)：采用各種防護措施，建立資產(chǎn)的安全域，從而保證資產(chǎn)不受侵犯，其價值得到保持；降低負(fù)面影響：采取容災(zāi)備份、應(yīng)急響應(yīng)和業(yè)務(wù)連續(xù)計劃等措施，從而減少安全事件造成的影響程度。

2.3.2 轉(zhuǎn)移風(fēng)險：通過將面臨風(fēng)險的資產(chǎn)或其價值轉(zhuǎn)移到更安全的地方來避免或降低風(fēng)險。通常只有當(dāng)風(fēng)險不能被降低或避免、且被第三方（被轉(zhuǎn)嫁方）接受時才被采用。一般用于那些低概率、但一旦風(fēng)險發(fā)生時會對組織產(chǎn)生重大影響的風(fēng)險。在本機構(gòu)不具備足夠的安全保障的技術(shù)能力時，將信息系統(tǒng)的技術(shù)體系（即信息載體部分）外包給滿足安全保障要求的第三方機構(gòu)，從而避免技術(shù)風(fēng)險。通過給昂貴的設(shè)備上保險，將設(shè)備損失的風(fēng)險轉(zhuǎn)移給保險公司，從而降低資產(chǎn)價值的損失。

2.4 批準(zhǔn)監(jiān)督。批準(zhǔn)：是指機構(gòu)的決策層依據(jù)風(fēng)險評估和風(fēng)險處理的結(jié)果是否滿足信息系統(tǒng)的安全要求，做出是否認(rèn)可風(fēng)險管理活動的決定。監(jiān)督：是指檢查機構(gòu)及其信息系統(tǒng)以及信息安全相關(guān)的環(huán)境有無變化，監(jiān)督變化因素是否有可能引入新風(fēng)險。

2.5 監(jiān)控審查的意義，監(jiān)控與審查可以及時發(fā)現(xiàn)已經(jīng)出現(xiàn)或即將出現(xiàn)的變化、偏差和延誤等問題，并采取適當(dāng)?shù)拇胧┻M(jìn)行控制和糾正，從而減少因此造成的損失，保證信息安全風(fēng)險管理主循環(huán)的有效性。

3.安全風(fēng)險評估實踐與國家相關(guān)政策

3.1 國家對開展風(fēng)險評估工作的政策要求

3.1.1 信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號）中明確提出：“要重視信息安全風(fēng)險評估工作，對網(wǎng)絡(luò)與信息系統(tǒng)安全的潛在威脅、薄弱環(huán)節(jié)、防護措施等進(jìn)行分析評估，綜合考慮網(wǎng)絡(luò)與信息系統(tǒng)的重要性、程度和面臨的信息安全風(fēng)險等因素，進(jìn)行相應(yīng)等級的安全建設(shè)和管理”

3.1.2 《國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組〈關(guān)于開展信息安全風(fēng)險評估工作的意見〉》（國信辦【2006】5號文）中明確規(guī)定了風(fēng)險評估工作的相關(guān)要求：風(fēng)險評估的基本內(nèi)容和原則；風(fēng)險評估工作的基本要求；開展風(fēng)險評估工作的有關(guān)安排。

3.2 《關(guān)于開展信息安全風(fēng)險評估工作的意見》的實施要求

3.2.1 信息安全風(fēng)險評估工作應(yīng)當(dāng)貫穿信息系統(tǒng)全生命周期。在信息系統(tǒng)規(guī)劃設(shè)計階段，通過信息安全風(fēng)險評估工作，可以明確信息系統(tǒng)的安全需求及其安全目標(biāo)，有針對性地制定和部署安全措施，從而避免產(chǎn)生欠保護或過保護的情況。

3.2.2 在信息系統(tǒng)建設(shè)完成驗收時，通過風(fēng)險評估工作可以檢驗信息系統(tǒng)是否實現(xiàn)了所設(shè)計的安全功能，是否滿足了信息系統(tǒng)的安全需求并達(dá)到預(yù)期的安全目標(biāo)。

3.3 《關(guān)于開展信息安全風(fēng)險評估工作的意見》的管理要求

3.3.1 信息安全風(fēng)險評估工作敏感性強，涉及系統(tǒng)的關(guān)鍵資產(chǎn)和核心信息，一旦處理不當(dāng)，反而可能引入新的風(fēng)險，《意見》強調(diào)，必須高度重視信息安全風(fēng)險評估的組織管理工作。

3.3.2 為規(guī)避由于風(fēng)險評估工作而引入新的安全風(fēng)險，《意見》提出以下要求：（1）參與信息安全風(fēng)險評估工作的單位及其有關(guān)人員必須遵守國家有關(guān)信息安全的法律法規(guī)，并承擔(dān)相應(yīng)的責(zé)任和義務(wù)。（2）風(fēng)險評估工作的發(fā)起方必須采取相應(yīng)保密措施，并與參與評估的有關(guān)單位或人員簽訂具有法律約束力的保密協(xié)議。（3）對關(guān)系國計民生和社會穩(wěn)定的基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的信息安全風(fēng)險評估工作必須遵循國家的有關(guān)規(guī)定進(jìn)行。

3.3.3 加快制定和完善信息安全風(fēng)險評估有關(guān)技術(shù)標(biāo)準(zhǔn)，盡快完善并頒布《信息安全風(fēng)險評估指南》和《信息安全風(fēng)險管理指南》等國家標(biāo)準(zhǔn)，各行業(yè)主管部門也可根據(jù)本行業(yè)特點制定相應(yīng)的技術(shù)規(guī)范。

3.4 2071號文件對電子政務(wù)提出要求

為落實《國家電子政務(wù)工程建設(shè)項目管理暫行辦法》（發(fā)改委[2007]55號令）對風(fēng)險評估的要求，發(fā)改高技【2008】2071號文件《關(guān)于加強國家電子政務(wù)工程建設(shè)項目信息安全風(fēng)險評估工作的通知》提出了具體要求：（相當(dāng)于“信息安全審計”）電子政務(wù)工程建設(shè)項目應(yīng)開展信息安全風(fēng)險評估工作；評估的主要內(nèi)容應(yīng)包含：資產(chǎn)、威脅、脆弱性、已有的安全措施和殘余風(fēng)險的影響等；項目建設(shè)單位應(yīng)在試運行期間開展風(fēng)險評估工作，作為項目驗收的重要依據(jù)；項目驗收申請時，應(yīng)提交信息安全風(fēng)險評估報告；系統(tǒng)投入運行后，應(yīng)定期開展信息安全風(fēng)險評估。

參考文獻(xiàn)

[1]信息安全測評中心.信息安全保障[Z].

第7篇：信息安全服務(wù)評估報告范文

巧合的是，當(dāng)天有媒體報道了我國30省份至少有275位艾滋病感染者個人信息遭泄露的事件。犯罪分子在詐騙電話中能準(zhǔn)確地描述出病患的個人信息，包括真實姓名、身份證號、聯(lián)系方式、戶籍信息、確診時間、隨訪的醫(yī)院或區(qū)縣疾控等等，并謊稱能為病患辦理補助而需要收取不菲的手續(xù)費。中國疾病預(yù)防控制中心相關(guān)負(fù)責(zé)人于7月17日表示，國家艾滋病感染者相關(guān)信息系統(tǒng)被列為國家網(wǎng)絡(luò)信息重點安全保護對象，目前已經(jīng)報案，將積極配合公安部門盡快破案。此事還引起了世界衛(wèi)生組織駐華代表處和聯(lián)合國艾滋病聯(lián)合規(guī)劃署駐華代表處的關(guān)注。7月18日，兩家代表處聯(lián)合發(fā)表聲明，強調(diào)“加強現(xiàn)有系統(tǒng)以杜絕類似信息入侵事件再次發(fā)生，至關(guān)重要”。

國家對于健康醫(yī)療大數(shù)據(jù)的安全十分重視，據(jù)統(tǒng)計，《意見》中，“安全”這個詞出現(xiàn)了33次。而此次疑似真實發(fā)生的醫(yī)療數(shù)據(jù)安全事件，成為“安全是核心基礎(chǔ)”的最佳注腳。

他山之石，可以攻玉

――英國健康醫(yī)療數(shù)據(jù)安全的審查和建議

不止我們，許多其他國家也發(fā)生了一系列事件，向全世界宣告了他們對健康醫(yī)療數(shù)據(jù)安全的關(guān)切。在英國，國家醫(yī)療服務(wù)體系（National Health Service， NHS）于2016年7月6日做出停止care.data健康醫(yī)療大數(shù)據(jù)平臺的決定中，“安全”即是重要原因之一。

在很大程度上，NHS決定關(guān)閉care.data，是基于7月6日的兩份評估報告。第一份報告《安全的數(shù)據(jù)，安全的醫(yī)療》（“Safe Data， Safe Care”）由英國醫(yī)療質(zhì)量委員會（Care Quality Commission，CQC）。醫(yī)療質(zhì)量委員會是英格蘭健康和社會醫(yī)療的獨立監(jiān)管機構(gòu)，其職責(zé)是監(jiān)控、檢查和評價醫(yī)療服務(wù)，促進(jìn)醫(yī)療服務(wù)符合標(biāo)準(zhǔn)規(guī)范以保證其質(zhì)量和安全。作為獨立第三方，CQC經(jīng)常地區(qū)、國家級的健康和社會醫(yī)療質(zhì)量報告。2015年9月，受英國衛(wèi)生大臣委托，CQC對NHS處理病人敏感數(shù)據(jù)過程的安全現(xiàn)狀進(jìn)行審查，并提出改進(jìn)數(shù)據(jù)安全的建議。

第二份報告《對數(shù)據(jù)安全、同意和選擇退出的審查》（“Review of Data Security， Consent and Opt-Outs”）是由英國“國家健康和醫(yī)療數(shù)據(jù)守護者”（National Data Guardian for Health and Care， NDG）。2015年9月，英國衛(wèi)生大臣也委托其與CQC緊密合作，共同提出新的數(shù)據(jù)安全標(biāo)準(zhǔn)、測評數(shù)據(jù)安全合規(guī)的新方法，以及獲取同意共享數(shù)據(jù)的新模式。在英國，NDG由衛(wèi)生大臣任命，其主要職責(zé)是確保公眾能夠信任醫(yī)療健康系統(tǒng)將保護個人信息，以及個人信息將被用于提高健康醫(yī)療水平。

CQC和NDG在對533起數(shù)據(jù)安全事故調(diào)查后發(fā)現(xiàn)，大多數(shù)事故與紙質(zhì)的醫(yī)療記錄相關(guān)，且80%到90%的數(shù)據(jù)安全事故是因為工作人員的習(xí)慣無意之中引起的，比如點擊了不安全的鏈接、丟失了存儲數(shù)據(jù)的介質(zhì)等。但是隨著醫(yī)療信息系統(tǒng)的普及、數(shù)據(jù)的逐步集中化及對公眾開放訪問入口，如果不提升安全防護水平，更嚴(yán)重、更大規(guī)模數(shù)據(jù)泄露的風(fēng)險將會增加。綜合CQC和NDG的報告，英國NHS數(shù)據(jù)安全工作中存在以下問題：

首先，雖然很多機構(gòu)都建立了數(shù)據(jù)安全方面的策略與規(guī)程，但并沒有在日常工作中得到有效實施，很多機構(gòu)只依賴策略和規(guī)程，而不是通過檢測驗證系統(tǒng)是否足夠安全，也未要求其供應(yīng)商也遵循同樣的管理措施。

其次，NHS的絕大部分工作人員認(rèn)可數(shù)據(jù)安全的重要性，但是培訓(xùn)質(zhì)量參差不齊，有些機構(gòu)培訓(xùn)覆蓋面不夠，未涉及合同商、數(shù)據(jù)共享方、臨時員工等，有些機構(gòu)未將安全事故經(jīng)驗作為培訓(xùn)內(nèi)容的重要參考。

再次，機構(gòu)往往不清楚如何從目前存在的大量安全標(biāo)準(zhǔn)中選取合適的參考，許多機構(gòu)很少去學(xué)習(xí)其他機構(gòu)保護數(shù)據(jù)安全的做法，也很少請外部第三方機構(gòu)做專業(yè)的安全測評。

針對上述問題，CQC和NDG提出的建議簡要概括如下：第一，每個機構(gòu)的領(lǐng)導(dǎo)應(yīng)該明確數(shù)據(jù)安全的責(zé)任人和其職責(zé)，類似于組織醫(yī)療事務(wù)和財務(wù)的管理和問責(zé)制度，包括建立有效的內(nèi)審機制，必要時進(jìn)行外審以驗證安全措施有效性，對惡意類數(shù)據(jù)安全事件進(jìn)行嚴(yán)厲處罰等；第二，所有的工作人員應(yīng)該獲得足夠的資源，包括正確的信息、工具、培訓(xùn)等，以便于他們履行數(shù)據(jù)安全處理和共享的職責(zé)；第三，IT系統(tǒng)和所有的安全協(xié)議都應(yīng)該按照實際的病人治療過程和一線工作人員的需求進(jìn)行設(shè)計；第四，應(yīng)該按照新的數(shù)據(jù)標(biāo)準(zhǔn)要求設(shè)計自評估系統(tǒng)，并選取優(yōu)秀的案例供其他機構(gòu)進(jìn)行同步學(xué)習(xí)；第五，NHS應(yīng)該修改通用財務(wù)合同模板，確保各機構(gòu)能夠落實數(shù)據(jù)安全標(biāo)準(zhǔn)，地方機構(gòu)和供應(yīng)商簽署的合同也應(yīng)有相應(yīng)的條款，當(dāng)供應(yīng)商無法滿足安全要求時不應(yīng)與其續(xù)簽合同。

雖然NHS以及care.data計劃在數(shù)據(jù)安全管理方面受到詬病，但從以上審查結(jié)果中不難看出，英國作為健康和醫(yī)療大數(shù)據(jù)集中應(yīng)用的先行者，已經(jīng)在數(shù)據(jù)安全方面做了很多有價值的工作，比如配套的法律法規(guī)、標(biāo)準(zhǔn)規(guī)范，任命了專門的數(shù)據(jù)保護官員，建立了獨立的監(jiān)管和審計機構(gòu)，建立了數(shù)據(jù)安全風(fēng)險管理的信息系統(tǒng)等。

但是，由于健康和醫(yī)療數(shù)據(jù)的高度敏感性，對其進(jìn)行集中存儲和管理后，一方面會引起惡意人員的高度關(guān)注，另一方面一旦發(fā)生數(shù)據(jù)泄露其影響面非常廣，對于每個病人來說其后果很難挽回；因此，健康醫(yī)療數(shù)據(jù)的安全工作可謂難上加難，即便英國具備一定的基礎(chǔ)，其數(shù)據(jù)安全治理也未在一開始取得理想的效果，但從近期頻繁的安全審查中可以看出，英國政府建立的數(shù)據(jù)安全監(jiān)督機構(gòu)、數(shù)據(jù)保護官等正在發(fā)揮積極作用，正視已出現(xiàn)的問題并提出注重實效的解決方案，以重新贏回公眾的信任。

善治病者，必醫(yī)其受病之處

――我國健康醫(yī)療數(shù)據(jù)安全形勢嚴(yán)峻

早在2013年底，國家衛(wèi)生和計劃生育委員會就了《關(guān)于加快推進(jìn)人口健康信息化建設(shè)的指導(dǎo)意見》，提出在“十三五”期間將大力推動全國人口健康信息大平臺的建設(shè)。從安全需求上來說，這個信息平臺一是將承載全國13億公民的人口、健康、醫(yī)療等隱私信息，數(shù)據(jù)保密性要求高；二是將提供公民個人醫(yī)療保障、診療等信息化服務(wù)不能中斷，業(yè)務(wù)連續(xù)性要求高；三是將為國家衛(wèi)生計生行業(yè)未來發(fā)展提供決策依據(jù)，信息容錯率要求高。然而目前，我國在健康醫(yī)療數(shù)據(jù)安全保障方面情況堪憂，行業(yè)整體安全態(tài)勢趨于嚴(yán)峻。主要問題包括：

首先，行業(yè)合并導(dǎo)致底數(shù)不清。衛(wèi)生、計生行業(yè)合并時間并不算太長，業(yè)務(wù)層面的整合已初步實現(xiàn)，但數(shù)據(jù)層面的整合尚屬起步階段，在實際執(zhí)行過程中易滋生死角盲區(qū)。從網(wǎng)上已公開的醫(yī)療行業(yè)信息安全事件中不難發(fā)現(xiàn)，絕大多數(shù)安全事件的第一步突破點來自于安全管控體系的“法外之地”。

其次，行業(yè)信息安全人才與經(jīng)費保障缺口較大。據(jù)不完全統(tǒng)計，醫(yī)療行業(yè)2015年整體信息化建設(shè)資金超過300億，但信息安全投入不足6億，占比不足2%，而對于有較高安全保障要求的行業(yè)，安全占比普遍超過10%；在人才隊伍方面，專業(yè)信息安全從業(yè)人員嚴(yán)重缺失，許多機構(gòu)甚至出現(xiàn)“身著白大褂的大夫在看病之余兼職管安全”的狀況。

再次，缺乏具備行業(yè)特色的信息安全指導(dǎo)框架。健康醫(yī)療行業(yè)特殊性較高，目前行業(yè)雖然已推行國家信息安全等級保護要求，但尚未建設(shè)具備行業(yè)業(yè)務(wù)特點的信息安全保障體系，也沒有專門的行業(yè)信息安全技術(shù)標(biāo)準(zhǔn)，不利于有針對性地開展安全防護工作。

第四，行業(yè)網(wǎng)絡(luò)涉及面廣，不易管控。我國醫(yī)療衛(wèi)生機構(gòu)總數(shù)已超百萬，以藥品方面為例，我國有6000多家化學(xué)制藥企業(yè)，藥品經(jīng)營流通企業(yè)17000多家，而作為世界制藥大國的美國，才分別為200多家和50多家。超大規(guī)模、超復(fù)雜接入對構(gòu)建安全的衛(wèi)生計生網(wǎng)絡(luò)來說，難度巨大。

另外，不易樹立行業(yè)信息安全標(biāo)桿。全國醫(yī)療信息化及軟件生產(chǎn)供應(yīng)商達(dá)數(shù)百家。以行業(yè)龍頭東軟集團為例，其擁有的市場份額不足5%，離散化的分布導(dǎo)致安全的最佳實踐無法快速復(fù)制推廣，在現(xiàn)有保障能力下也很難做到“避輕就重”“抓大放小”。

第8篇：信息安全服務(wù)評估報告范文

【關(guān)鍵詞】電力 信息系統(tǒng) 安全 網(wǎng)絡(luò)技術(shù)

電力作為國民經(jīng)濟發(fā)展所需的主要能源保障之一，其信息系統(tǒng)的安全問題是電力系統(tǒng)自動化進(jìn)程中需要格外關(guān)注并解決的。就系統(tǒng)而言，其危險源來源于內(nèi)部及外部兩方面，所以，解決系統(tǒng)安全問題也可從內(nèi)外兩方面來著手。基于電力信息系統(tǒng)信息安全區(qū)別于其它系統(tǒng)的特殊性，結(jié)合當(dāng)前計算機安全技術(shù)的一些關(guān)鍵技術(shù)應(yīng)用，初步總結(jié)出幾大電力系統(tǒng)信息安全技術(shù)，供新建、改建、擴建或已建電力系統(tǒng)更新參考。

1 安全系統(tǒng)構(gòu)建

電力行業(yè)屬于壟斷性行業(yè)，安全系統(tǒng)初始構(gòu)建是國電集團的大信息網(wǎng)絡(luò)構(gòu)建的一部分，通常是在電力系統(tǒng)建設(shè)階段形成，國電集團目前的信息網(wǎng)絡(luò)是由各省及省下面的各地市級網(wǎng)絡(luò)供電局所組成的一個大型廣域網(wǎng)，集團及各省企業(yè)公司通過它來管理各種信息資源，各網(wǎng)絡(luò)之間利用分組交換以及數(shù)字網(wǎng)絡(luò)復(fù)接技術(shù)，相對獨立成為一個單獨的數(shù)據(jù)通信網(wǎng)絡(luò)。這種布局，能夠解決信息質(zhì)量及安全的初步要求，大體能夠保證數(shù)據(jù)信息及時可靠、完整有效。

2 安全硬件堡壘――防火墻技術(shù)

防火墻是內(nèi)網(wǎng)與外網(wǎng)信息數(shù)據(jù)互通的進(jìn)出口，其關(guān)鍵在于這個進(jìn)出口的唯一性，亦即“必經(jīng)之路”，所有的Internet訪問均不可能繞過它而產(chǎn)生連接，為此，在此處加強技術(shù)力量保障安全的效力是顯而易見的。當(dāng)前的電力信息系統(tǒng)防火墻基本是有設(shè)置保護的，但是較普遍的是設(shè)置不夠保險，最高級別的保密策略應(yīng)是拒絕一切未經(jīng)準(zhǔn)許的連接請求，于是，選擇“缺省全部關(guān)閉，按需求開通的原則”是必須遵循的，同時，需要禁止遠(yuǎn)程協(xié)助等容易導(dǎo)致防火墻失控的各類危險服務(wù)，如Telnet、NNTP、NFS等。此外，還可采取在不同安全區(qū)之間設(shè)置專用物理隔離墻的措施，使保護更加隱密，增加安全系數(shù)。

3 安全軟件―病毒防護技術(shù)

病毒往往是從漏洞處進(jìn)入系統(tǒng)的，這就要求電力信息系統(tǒng)網(wǎng)絡(luò)應(yīng)形成一個整體的防護罩，任何的缺漏都將使全局防護失效。服務(wù)器、工作站、主機、各用戶均應(yīng)完善殺毒軟件。網(wǎng)絡(luò)防毒系統(tǒng)可以采用C/S模式，首先，利用服務(wù)器網(wǎng)絡(luò)核心功能，在服務(wù)器端先行安裝殺毒軟件，然后派發(fā)到各工作站及用戶，客戶端安裝完軟件后，通過Internet與服務(wù)器聯(lián)成一體，并利用LiveUpdate（在線升級）功能，從免疫中心實時獲取最新的病毒碼信息，及時更新病毒代碼庫，根據(jù)需要選擇掃描方式，從而完成整個網(wǎng)絡(luò)的查殺布署工作。掃描方式可選自動掃描或人工掃描、實時進(jìn)行或預(yù)定進(jìn)行、升級后掃描或開機后掃描等。防護軟件可根據(jù)電力信息網(wǎng)系統(tǒng)特性與病毒軟件商聯(lián)合制作，不求最貴，但求最經(jīng)濟適用。由于病毒掃描進(jìn)程將使服務(wù)器性能降低，因此如采用預(yù)置掃描方式，建議將掃描時間設(shè)定在服務(wù)器訪問率最低的夜間。

4 入侵檢測系統(tǒng)技術(shù)

為了應(yīng)對黑客的攻擊，入侵檢測系統(tǒng)作為一個功能強大的安全保障工具，應(yīng)推薦應(yīng)用于各電力企業(yè)，其采用先進(jìn)的攻擊防衛(wèi)技術(shù)，通過在不同的位置分布放置檢測監(jiān)控裝置，能夠最大限度地、有效地阻止各種類型的攻擊，特點鮮明，安全可靠。入侵檢測系統(tǒng)中心數(shù)據(jù)庫應(yīng)放置在DMZ區(qū)，內(nèi)網(wǎng)、各監(jiān)控引擎應(yīng)與中心隨時保持通訊，針對入侵反饋信息，通過預(yù)先設(shè)置好的安全策略啟動相應(yīng)報警及防衛(wèi)程序。入侵檢測系統(tǒng)還可以在事后清楚地界定責(zé)任人和責(zé)任事件，為網(wǎng)絡(luò)管理人員提供強有力的保障。

5 安全技術(shù)管理優(yōu)化

首先，應(yīng)提高電力信息系統(tǒng)使用人員的風(fēng)險認(rèn)識。電力信息系統(tǒng)使用人員不得從外網(wǎng)上隨意下載性質(zhì)不明的資料、軟件等，不得隨意修改系統(tǒng)密碼或是執(zhí)行有泄漏密碼可能的操作，確實應(yīng)進(jìn)行相關(guān)操作時，剛下載的資料、軟件應(yīng)第一時間進(jìn)行殺毒，盡最大可能地殺死可能攜帶的病毒，不給不法分子可乘之機。

其次，各類密碼設(shè)定和妥善管理。系統(tǒng)內(nèi)應(yīng)保證密碼的隱密性，杜絕使用默認(rèn)密碼、出廠密碼或者無密碼，不使用容易猜測的密碼。密碼要及時更新，特別是有人員調(diào)離時密碼一定要更新。密度強度應(yīng)以區(qū)別大小字的英文字母與阿拉伯?dāng)?shù)字、字符組合的形式設(shè)立。

再者，加強對系統(tǒng)安全的檢測管理。系統(tǒng)使用人員及安全管理人員應(yīng)定期對信息系統(tǒng)進(jìn)行檢測維護，包括檢查系統(tǒng)功能狀態(tài)、病毒庫更新狀態(tài)、設(shè)備陳舊狀態(tài)、數(shù)據(jù)異常狀態(tài)等各類信息。重要文件應(yīng)養(yǎng)成加密及備份的習(xí)慣，對于文件安全，通過文件加密、信息摘要和訪問控制等安全措施，來實現(xiàn)文件存儲和傳輸?shù)谋Ｃ芎屯暾砸?，并實現(xiàn)對文件訪問的控制。對通信安全，采用數(shù)據(jù)加密、信息摘要和數(shù)字簽名等安全措施對通信過程中的信息進(jìn)行保護，實現(xiàn)數(shù)據(jù)在通信中的保密、完整和不可抵賴性安全要求。對遠(yuǎn)程接入安全，通過VPN技術(shù)，提高信息，如電子公文、MAIL等在傳輸過程中的保密性和安全性。數(shù)據(jù)的備份策略要合理，備份要及時，備份介質(zhì)保管要安全，要注意備份介質(zhì)的異地保存。

6 安全審計技術(shù)策略

可以模仿U盾、密保等認(rèn)證，結(jié)合密碼使用，通過電子、電話等多途徑的密碼保護安全問題增加信息系統(tǒng)安全性。為了實現(xiàn)數(shù)據(jù)庫數(shù)據(jù)的安全，或是避免被入侵后更改數(shù)據(jù)，應(yīng)設(shè)置數(shù)據(jù)庫訪問控制、存儲加密以及完整性檢驗等功能。利用網(wǎng)絡(luò)隱患掃描系統(tǒng)生成詳細(xì)的安全評估報告，可對系統(tǒng)進(jìn)行形象的分析，審計系統(tǒng)運行安全狀態(tài)，評判系統(tǒng)安全性能。

參考文獻(xiàn)

[1]唐亮.電力系統(tǒng)計算機網(wǎng)絡(luò)信息安全的防護[J].供用電，2010.

[2]鐘捷.電力信息系統(tǒng)存儲安全需求及加密[J].技術(shù)研究，2009.

[3]張文軍.電力信息系統(tǒng)中的信息安全技術(shù)[J].科技與生活，2012.

[4]王寶義，張少敏.電力企業(yè)信息網(wǎng)絡(luò)系統(tǒng)的綜合安全策略[J].華北電力技術(shù)，2003 （4）.

[5]楚狂.網(wǎng)絡(luò)安全與防火墻技術(shù)[M].人民郵電出版社，2004.

[6]辛耀中，盧長燕.電力系統(tǒng)數(shù)據(jù)網(wǎng)絡(luò)技術(shù)體制分析[M].電力系統(tǒng)自動化，2000.

第9篇：信息安全服務(wù)評估報告范文

【關(guān)鍵詞】安全風(fēng)險；安全措施；風(fēng)險評估報告

1.前言

建筑業(yè)是危險性較大的行業(yè)之一，安全生產(chǎn)管理的任務(wù)十分艱巨，安全生產(chǎn)不僅關(guān)系到廣大群眾的根本利益，也關(guān)系到企業(yè)的形象，還關(guān)系到國家和民族的形象，甚至影響著社會的穩(wěn)定和發(fā)展。黨的十六屆五中全會確立了“安全生產(chǎn)”的指導(dǎo)原則，我國“十一五”發(fā)展規(guī)劃中首次提出了“安全發(fā)展”的新理念。所有這些表明，安全生產(chǎn)已成為生產(chǎn)經(jīng)營活動的基本保障，更是當(dāng)前建筑工程行業(yè)管理的首要目標(biāo)。

風(fēng)險評估的目的是為了全面了解建設(shè)安全的總體安全狀況，并明確掌握系統(tǒng)中各資產(chǎn)的風(fēng)險級別或風(fēng)險值，從而為工程安全管理措施的制定提供參考。因此可以說風(fēng)險評估是建立安全管理體系（ISMS）的基礎(chǔ)，也是前期必要的工作。風(fēng)險評估包括兩個過程：風(fēng)險分析和風(fēng)險評價[1][2]。風(fēng)險分析是指系統(tǒng)化地識別風(fēng)險來源和風(fēng)險類型，風(fēng)險評價是指按給出的風(fēng)險標(biāo)準(zhǔn)估算風(fēng)險水平，確定風(fēng)險嚴(yán)重性。

2.風(fēng)險評估模型與方法

風(fēng)險評估安全要素主要包括資產(chǎn)、脆弱性、安全風(fēng)險、安全措施、安全需求、殘余風(fēng)險。在風(fēng)險評估的過程中要對以上方面的安全要素進(jìn)行識別、分析。

2.1 資產(chǎn)識別與賦值

一個組織的信息系統(tǒng)是由各種資產(chǎn)組成，資產(chǎn)的自身價值與衍生價值決定信息系統(tǒng)的總體價值。資產(chǎn)的安全程度直接反映信息系統(tǒng)的安全水平。因此資產(chǎn)的價值是風(fēng)險評估的對象。

本文的風(fēng)險評估方法將資產(chǎn)主要分為硬件資產(chǎn)、軟件資產(chǎn)、文檔與數(shù)據(jù)、人力資源、信息服務(wù)等[1][2]。建設(shè)工程的資產(chǎn)主要體現(xiàn)在建筑產(chǎn)品、施工人員、施工機械等。

風(fēng)險評估的第一步是界定ISMS的范圍，并盡可能識別該范圍內(nèi)對業(yè)務(wù)過程有價值的所有事物。

資產(chǎn)識別與賦值階段主要評價要素為{資產(chǎn)名稱、責(zé)任人、范圍描述、機密性值C、完整性值I、可用性值A(chǔ)、QC、QI、QA}。QC、QI、QA分別為保密性，完整性，可用性的權(quán)重，QC=C / （C+I+A），QI、QA類似。

2.2 識別重要資產(chǎn)

信息系統(tǒng)內(nèi)部的資產(chǎn)很多，但決定工程安全水平的關(guān)鍵資產(chǎn)是相對有限的，在風(fēng)險評估中可以根據(jù)資產(chǎn)的機密性、完整性和可用性這三個安全屬性來確定資產(chǎn)的價值。

通常，根據(jù)實際經(jīng)驗，三個安全屬性中最高的一個對最終的資產(chǎn)價值影響最大。換而言之，整體安全屬性的賦值并不隨著三個屬性值的增加而線性增加，較高的屬性值具有較大的權(quán)重。

在風(fēng)險評估方法中使用下面的公式來計算資產(chǎn)價值：

資產(chǎn)價值=10×Round{Log2[（2C+2I+2A）/3]}

其中，C代表機密性賦值；I代表完整性賦值；A代表可用性賦值；Round{}表示四舍五入。

從上述表達(dá)式可以發(fā)現(xiàn)：三個屬性值每相差一，則影響相差兩倍，以此來體現(xiàn)最高安全屬性的決定性作用。在實際評估中，常常選擇資產(chǎn)價值大于25的為重要資產(chǎn)。

2.3 威脅與脆弱性分析

識別并評價資產(chǎn)后，應(yīng)識別每個資產(chǎn)可能面臨的威脅。在識別威脅時，應(yīng)該根據(jù)資產(chǎn)目前所處的環(huán)境條件和以前的記錄情況來判斷。需要注意的是，一項資產(chǎn)可能面臨多個威脅，而一個威脅也可能對不同的資產(chǎn)造成影響。

識別威脅的關(guān)鍵在于確認(rèn)引發(fā)威脅的人或事物，即所謂的威脅源或威脅。建筑企業(yè)的威脅源主要是四個方面：人的不安全行為，物的不安全因素、環(huán)境的不安全因素、管理的不安全因素。

識別資產(chǎn)面臨的威脅后，還應(yīng)根據(jù)經(jīng)驗或相關(guān)的統(tǒng)計數(shù)據(jù)來判斷威脅發(fā)生的頻率或概率。評估威脅可能性時有兩個關(guān)鍵因素需要考慮：威脅動機和威脅能力。威脅源的能力和動機可以用極低、低、中等、高、很高（1、2、3、4、5）這五級來衡量。脆弱性，即可被威脅利用的弱點，識別主要以資產(chǎn)為核心，從技術(shù)和管理兩個方面進(jìn)行。在評估中可以分為五個等級：幾乎無（1）、輕微（2）、一般（3）、嚴(yán)重（4）、非常嚴(yán)重（5）。在風(fēng)險評估中，現(xiàn)有安全措施的識別也是一項重要工作，因為它也是決定資產(chǎn)安全等級的一個重要因素。我們要在分析安全措施效力的基礎(chǔ)上，確定威脅利用脆弱性的實際可能性。

2.4 綜合風(fēng)險值

資產(chǎn)的綜合風(fēng)險值是以量化的形式來衡量資產(chǎn)的安全水平。在計算風(fēng)險值時，以威脅最主要影響資產(chǎn)C、I、A三安全屬性所對應(yīng)的系數(shù)QC、QI、QA為權(quán)重。計算方法為：

威脅的風(fēng)險值（RT）=威脅的影響值（I）×威脅發(fā)生的可能性（P）；

2.5 風(fēng)險處理

通過前面的過程，我們得到資產(chǎn)的綜合風(fēng)險值，根據(jù)組織的實際情況，和管理層溝通后劃定臨界值來確定被評估的風(fēng)險結(jié)果是可接收還是不可接收的。

對于不可接收的風(fēng)險按風(fēng)險數(shù)值排序或通過區(qū)間劃分的方法將風(fēng)險劃分為不同的優(yōu)先等級，對于風(fēng)險級別高的資產(chǎn)應(yīng)優(yōu)先分配資源進(jìn)行保護。

對于不可接收的風(fēng)險處理方法有四種[3]：

1）風(fēng)險回避，組織可以選擇放棄某些業(yè)務(wù)或資產(chǎn)，以規(guī)避風(fēng)險。是以一定的方式中斷風(fēng)險源，使其不發(fā)生或不再發(fā)展，從而避免可能產(chǎn)生的潛在損失。例如投標(biāo)中出現(xiàn)明顯錯誤或漏洞，一旦中標(biāo)損失巨大，可以選擇放棄中標(biāo)的原則，可能會損失投標(biāo)保證金，但可避免更大的損失。

2） 降低風(fēng)險：實施有效控制，將風(fēng)險降低到可接收的程度，實際上就是設(shè)法減少威脅發(fā)生的可能性和帶來的影響，途徑包括：

a.減少威脅：例如降低物的不安全因素和人的不安全因素。

b.減少脆弱性：例如，通過安全教育和意識培訓(xùn)，強化員工的安全意識等。

c.降低影響：例如災(zāi)難計劃，把風(fēng)險造成的損失降到最低。

d.監(jiān)測意外事件、響應(yīng)，并恢復(fù)：例如應(yīng)急計劃和預(yù)防計劃，及時發(fā)現(xiàn)出現(xiàn)的問題。

3）轉(zhuǎn)移風(fēng)險：將風(fēng)險全部或者部分轉(zhuǎn)移到其他責(zé)任方，是建筑行業(yè)風(fēng)險管理中廣泛采用的一項對策，例如，工程保險和合同轉(zhuǎn)移是風(fēng)險轉(zhuǎn)移的主要方式。

4）風(fēng)險自留： 適用于別無選擇、期望損失不嚴(yán)重、損失可準(zhǔn)確預(yù)測、企業(yè)有短期內(nèi)承受最大潛在損失的能力、機會成本很大、內(nèi)部服務(wù)優(yōu)良的風(fēng)險。

選擇風(fēng)險處理方式，要根據(jù)組織運營的具體業(yè)務(wù)環(huán)境與條件來決定，總的原則就是控制措施要與特定的業(yè)務(wù)要求匹配。最佳實踐是將合適的技術(shù)、恰當(dāng)?shù)娘L(fēng)險消減策略，以及管理規(guī)范有機結(jié)合起來，這樣才能達(dá)到較好的效果。

通過風(fēng)險處理后，并不能絕對消除風(fēng)險，仍然存在殘余風(fēng)險：

殘余風(fēng)險Rr =原有的風(fēng)險Ro-控制R

目標(biāo)：殘余風(fēng)險Rr≤可接收的風(fēng)險Rt，力求將殘余風(fēng)險保持在可接受的范圍內(nèi)，對殘余風(fēng)險進(jìn)行有效控制并定期評審。

主要評估兩方面：不可接受風(fēng)險處理計劃表，主要評價要素為{資產(chǎn)名稱、責(zé)任人、威脅、脆弱點、已有控制措施、風(fēng)險處理方式、優(yōu)先處理等級、風(fēng)險處理措施、處理人員、完成日期}；殘余風(fēng)險評估表，主要評價要素為{資產(chǎn)名稱、責(zé)任人、威脅、脆弱點、已有控制措施、增加的控制措施、殘余威脅發(fā)生可能性、殘余威脅影響程度、殘余風(fēng)險值}。

2.6 風(fēng)險評估報告

在風(fēng)險評估結(jié)束后，經(jīng)過全面分析研究，應(yīng)提交詳細(xì)的《安全風(fēng)險評估報告》，報告應(yīng)該包括[4]：

1） 概述，包括評估目的、方法、過程等。

2） 各種評估過程文檔，包括重要資產(chǎn)清單、安全威脅和脆弱性清單、現(xiàn)有控制措施的評估等級，最終的風(fēng)險評價等級、殘余風(fēng)險處理等。

3）推薦安全措施建議。

3.結(jié)論

目前仍有相當(dāng)一部分施工現(xiàn)場存在各種安全隱患，安全事故層出不群，不僅給人們帶來劇痛的傷亡和財產(chǎn)損失，還給社會帶來不穩(wěn)定的因素。風(fēng)險評估是工程安全領(lǐng)域中的一個重要分支，涉及到計算機科學(xué)、管理學(xué)、建筑工程安全技術(shù)與管理等諸多學(xué)科，本文的評估方法綜合運用了定性、定量的手段來確定建設(shè)工程中各個安全要素，最終衡量出建設(shè)工程的安全狀況與水平，為建立安全管理體系ISMS提供基礎(chǔ)，對建設(shè)工程的風(fēng)險評估具有一定的借鑒意義。

參考文獻(xiàn)：

[1]ISO/IEC 17799：2000 Information Technology-Code of Practice for Information Security Management.

[2]BS7799-2：2002.Information Security Management-Specification for Information Security Management Systems.