风险管理与信息安全风险评估提纲一：信息化风险及风险管理研究一、信息化风险的定义二、信息化风险的主要特征三、信息化风险的内在原因第一，自然灾害 第二，误操作和安全生产事故； 第三，病毒、蠕虫以及网络攻击； 第四，由于信任体系不完善，借助信息化手段进行欺诈； 第五，因内部因素而造成的信息、数据的修改和丢失和内部泄密；； 第六，因外部因素造成信息、数据的泄露、篡改和丢失； 第七，安全防范措施不到位的高端技术。五、我国信息安全风险的生成机理第二，领导与组织能力不到位，统筹协调不力。 （1）领导对于风险管理的重视不足，忽视电子化政府项目的高风险等具体问题； （2）行政改革与创新的方向性错误； （3）组织信息化目标的错误设定，片面追求上网，忽视服务质量； （4）跨部门之信息化进程的协调问题； （5）重复建设问题； （6）信息化项目未能及时完成，预算超支问题； （7）信息孤岛问题； （8）项目难以有效评估或评测的问题。第三，投资管理的能力差，项目管理体系不成熟。 （1）对项目投资管理的理念认识和关注不足； （2）项目的投资基础（投资负责机构、提出候选项目并予以筛选、对投资项目的选定与实施过程的监督、捕获投资信息等）建设不完善； （3）在项目的投资过程（包括相关筛选、控制和评估标准的确立，对实施后的复查等）机制不健全； （4）在投资的过程管理中，存在薄弱环节，无法做到全流程的“无缝隙管理”； （5）在优化投资过程方面，往往无法实现项目投资的战略性成果。第四，资金的预算和管理能力差。 （1）对信息安全投资的风险未做预测，或预测不准； （2）资金支持不足； （3）无法寻求足够的社会资金来源； （4）信息安全投资的回报难以监控和评估。第五，人力资源不足。 （1）缺乏信息安全风险管理的人员和能力； （2）缺乏具备充足信息安全管理资格的人员； （3）培训跟不上项目的进程，培训效果差； （4）项目核心人员的流动问题。第六，法律与政策不足。 我国目前的信息安全的法制工作发展较为缓慢； 首先，缺乏对信息化的全面立法支持，缺乏保障政府信息化的基本法律，如政府信息公开法、政府信息资源管理法。 其次，缺乏对信息安全风险的制度性规范，如信息风险手册等。 再次，原有的一些法律已不能适应信息化时代的要求，如著作权法、专利法、刑法等。第七，保护隐私，数据安全，技术管理方面的不足。 在泄露隐私方面： （1）不当授权他人或机构滥用用户信息； （2）未遵循法律或法规制定相应的隐私和记录管理政策。 在影响数据安全方面： （1）工作人员对安全因素和措施缺乏足够认知； （2）难以解决相关安全问题； （3）病毒或黑客攻击导致系统瘫痪； （4）由于一个主要系统瘫痪导致其它系统的失灵。六、信息安全风险的应对战略和政策（六）建立健全国家信息化的技术安全平台，通过安全技术的发展保障信息化系统的安全 （七）采取有效的措施，确保敏感性信息和国家重要信息基础设施的安全 （八）保障政府系统的安全 （九）建立国家网络空间安全的危机管理系统 （十）通过信息的共享和广泛的合作，化解信息安全风险提纲党中央、国务院高度重视网络与信息安全工作深刻认识开展信息安全风险评估工作的重要意义我对风险评估工作指导思想和原则的理解对风险评估总体要求的理解四、建立风险评估基本管理制度的建议我国风险评估的几项任务落实风险评估建设的相关措施提纲研究了试点工作目的明确专家组工作基本思路确定选择试点单位协助国信办提出试点工作阶段划分的建议积极参与了试点工作积极参与了试点工作（续）试点工作与标准验证收获和体会试点工作技术上特点典型方法之一：综合风险计算法典型方法之四：面向关键信息资产的评估方法（续）试点工作出现了一批成果试点工作出现了一批成果（续）试点工作发现的问题下一步建议建设独立自主、符合国际惯例的风险评估技术支撑体系安全测试评估工具、平台与环境下一步建议（续）限于水平和精力，专家组工作，还有许多不到之处，欢迎批评指正!