余珊
南京市公安局交通管理局科研室 江苏省南京市 210016
信息系统安全保密风险源评估是借助于管理和技术手段,科学分析信息系统面临的保密风险和风险等级,为持续改进信息系统安全保密管理提供内部动力和依据。涉密信息系统应当定期进行风险评估,发现系统安全防护和管理存在的问题和薄弱环节,进而采取措施减少、转移、避免风险,杜绝重要风险发生。规范的风险评估有成熟评估理论和方法,但过于复杂,没有得到普遍运用。而大多数单位采用的普通定性分析偏差较大,实际意义不大。本文介绍一种简易可行的信息安全保密风险评估方法,以日常检查与审计为依据,对从信息系统保密风险源事项出现的频率、风险源事项导致风险事故的概率和风险事故的影响确定风险等级。
信息系统的保密风险主要来自管理部门未按照规定或标准进行技术防护、管理部门未按照制度要求落实管理措施以及使用人员未按照制度要求违规操作等方面。信息系统的管理部门负责组织收集本单位信息系统管理风险源的初始信息,查找风险源,分析风险源的风险等级,落实风险控制措施。
根据以往检查和审计的结果,对可能存在的风险源进行统计分析,确定风险源出现的频率(E)。
风险源出现频率E
对辨识出的保密管理风险源和其特征进行明确的定义描述,分析评估风险源导致失泄密事件(风险发生)的概率(L)。概率值区间为1~5分,最低为1分,最高为5分。打分采取定量与定性相结合,优先定量的方式。定量方式打分可参考风险预防措施、因素等定量标准,若同时符合两种以上标准,以平均值为准,打分可保留一位小数(如1.5分)。
风险源导致失泄密风险发生的概率L
计算风险源的风险值。计算风险源的风险值=风险源出现频率(E)×风险源导致风险的概率(L) ×保密管理风险对本单位的影响程度(C)。风险值范围为1~25分,分值越高,风险越大。
确定风险源的风险等级,风险值分为重大、重要、一般三个风险等级。15分(含)以上为重大风险,5分(含)~15分(不含)为重要风险,5分(不含)以下为一般风险。
在风险评估工作的基础上形成《保密风险事项评估表》。保密风险事项评估表内容包括:保密风险事项、发生的可能性、影响程度、风险因素、风险级别、风险控制管理措施等。
例,某单位保密风险事项评估表(仅供参考)。
信息安全保密风险事项评估表
在风险评估工作的基础上形成风险评估报告。风险评估报告应当包括:保密工作形势分析、风险评估工作情况和结果、风险点控制措施、重要风险解决方案。重要管理风险解决方案包括风险解决的具体目标,组织领导,涉及的管理业务流程及各部门职责,所需条件、手段等资源,监测检查要求,风险事件发生前、中、后所采取的具体应对措施等。
遇到重大变化、发现重要隐患或发生失泄密事件应当及时组织重新评估。
论文作者:余珊
论文发表刊物:《防护工程》2018年第14期
论文发表时间:2018/10/19
标签:风险论文; 信息系统论文; 事项论文; 概率论文; 风险评估论文; 定量论文; 等级论文; 《防护工程》2018年第14期论文;