1、我看信息安全风险评估工作我看信息安全风险评估工作宁家骏(国家信息中心)2005.10提纲提纲o信息安全与风险评估信息安全与风险评估o风险评估贵在探索风险评估贵在探索o努力研发符合我国特色的评估体系努力研发符合我国特色的评估体系o安全保密需要风险评估安全保密需要风险评估克服安全克服安全“亚健康亚健康”的必由之的必由之路路o医学专家告诉我们:医学专家告诉我们:n人的躯体有健康、亚健康和患病等多种状态人的躯体有健康、亚健康和患病等多种状态n但成年人多数处于亚健康状态但成年人多数处于亚健康状态n如何确认和发现问题,必须体检如何确认和发现问题,必须体检o信息系统也一样,在安全状态方面,常常处信息系统也一
2、样,在安全状态方面,常常处于于“亚健康亚健康”甚至患病状态,因此也要甚至患病状态,因此也要“体体检检”这就是风险评估这就是风险评估环境和背景环境和背景o近年来,我国经济社会持续快速发展发展,信息化步伐加近年来,我国经济社会持续快速发展发展,信息化步伐加快,在促进经济发展、调整经济结构、改造传统产业和提快,在促进经济发展、调整经济结构、改造传统产业和提高人民生活质量等方面发挥了不可替代的重要作用。一方高人民生活质量等方面发挥了不可替代的重要作用。一方面社会经济对信息化的依赖程度越来越高,同时逐步建设面社会经济对信息化的依赖程度越来越高,同时逐步建设和积累了一批宝贵的信息资产。和积累了一批宝贵的信
3、息资产。o与之而来的各类计算机犯罪及与之而来的各类计算机犯罪及“黑客黑客”攻击网络事件屡有攻击网络事件屡有发生,手段也越来越高技术化,从而对各国的主权、安全发生,手段也越来越高技术化,从而对各国的主权、安全和社会稳定构成了威胁。和社会稳定构成了威胁。o计算机互联网络涉及社会经济生活各个领域,并直接与世计算机互联网络涉及社会经济生活各个领域,并直接与世界相联,可以说是国家的一个政治界相联,可以说是国家的一个政治“关口关口”,一条经济,一条经济“命脉命脉”。网络与信息安全已上升为一个事关国家政治稳。网络与信息安全已上升为一个事关国家政治稳定、社会安定、经济有序运行和社会主义精神文明建设的定、社会安
4、定、经济有序运行和社会主义精神文明建设的全局性问题。全局性问题。风险评估是一种方法和依据风险评估是一种方法和依据o信息安全风险是由于资产的重要性,人为或自然的威信息安全风险是由于资产的重要性,人为或自然的威胁利用信息系统及其管理体系的脆弱性,导致安全事胁利用信息系统及其管理体系的脆弱性,导致安全事件一旦发生所造成的影响。信息安全风险评估是指依件一旦发生所造成的影响。信息安全风险评估是指依据有关信息安全技术与管理标准,对信息系统及由其据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。
5、它要评估资产面临的威等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响,即信息安全的风险。生对组织造成的影响,即信息安全的风险。o信息安全风险评估是信息系统安全保障机制建立过程信息安全风险评估是信息系统安全保障机制建立过程中的一种评价方法,其结果为信息安全风险管理提供中的一种评价方法,其结果为信息安全风险管理提供依据。依据。风险评估的理念风险评估的理念o安全需要风险管理,信息安全更需要安全需要风险管
6、理,信息安全更需要风险管理风险管理o风险评估是当前解决信息安全问题的风险评估是当前解决信息安全问题的重要手段重要手段安全措施安全措施 抵御业务战略业务战略脆弱性脆弱性安全需求安全需求威胁威胁风险风险残余风险残余风险安全事件安全事件依赖具有被满足利用暴露降低增加加依赖增加导出演变 未被满足未控制可能诱发残留成本资产资产资产价值资产价值风险要素关系示意图风险要素关系示意图风险分析的基本要素风险分析的基本要素o风险分析中要涉及资产、威胁、脆弱风险分析中要涉及资产、威胁、脆弱性等基本要素。性等基本要素。o每个要素有各自的属性每个要素有各自的属性n资产的属性是资产价值;资产的属性是资产价值;n威胁的属性
7、是威胁出现的频率;威胁的属性是威胁出现的频率;n脆弱性的属性是资产弱点的严重程度脆弱性的属性是资产弱点的严重程度。否是否是风险评估准备已有安全措施的确认风险计算风险是否接受保持已有的安全措施施施施选择适当的安全措施并评估残余风险实施风险管理脆弱性识别威胁识别资产识别是否接受残余风险 风险分析评估过程文档评估过程文档风险评估文件记录评估结果文档 风险评估实施流程示意图风险评估实施流程示意图风险分析主要内容o对资产进行识别,并对资产的重要性进行赋值;对资产进行识别,并对资产的重要性进行赋值;o对威胁进行识别,描述威胁的属性,并对威胁出现的频对威胁进行识别,描述威胁的属性,并对威胁出现的频率赋值;率
8、赋值;o对资产的脆弱性进行识别,并对具体资产的脆弱性的严对资产的脆弱性进行识别,并对具体资产的脆弱性的严重程度赋值;重程度赋值;o根据威胁和脆弱性的识别结果判断安全事件发生的可能根据威胁和脆弱性的识别结果判断安全事件发生的可能性;性;o根据脆弱性的严重程度及安全事件所作用资产的重要性根据脆弱性的严重程度及安全事件所作用资产的重要性计算安全事件的损失;计算安全事件的损失;o根据安全事件发生的可能性以及安全事件的损失,计算根据安全事件发生的可能性以及安全事件的损失,计算安全事件一旦发生对组织的影响,即风险值。安全事件一旦发生对组织的影响,即风险值。不打无准备之仗不打无准备之仗做好准备做好准备o风险
9、评估的准备是整个风险评估过程有效风险评估的准备是整个风险评估过程有效性的保证。在风险评估实施前,应:性的保证。在风险评估实施前,应:n确定风险评估的目标;确定风险评估的目标;n确定风险评估的范围;确定风险评估的范围;n组建适当的评估管理与实施团队;组建适当的评估管理与实施团队;n选择与组织相适应的具体的风险判断方法;选择与组织相适应的具体的风险判断方法;n获得最高管理者对风险评估工作的支持。获得最高管理者对风险评估工作的支持。风险评估的准备阶段风险评估的准备阶段o明确目标明确目标n应明确风险评估的目标,为风险评估的过程提供导向。信息系统是重要的应明确风险评估的目标,为风险评估的过程提供导向。信
10、息系统是重要的资产,其机密性、完整性和可用性对于维持竞争优势、获利能力、法规要资产,其机密性、完整性和可用性对于维持竞争优势、获利能力、法规要求和组织形象是必要的。求和组织形象是必要的。o确定范围确定范围n基于风险评估目标确定评估范围是完成风险评估的前提。风险评估范围可基于风险评估目标确定评估范围是完成风险评估的前提。风险评估范围可能是组织全部的信息及与信息处理相关的各类资产、管理机构,也可能是能是组织全部的信息及与信息处理相关的各类资产、管理机构,也可能是某独立的系统,关键业务流程,与客户知识产权相关的系统或部门等。某独立的系统,关键业务流程,与客户知识产权相关的系统或部门等。o组建团队组建
11、团队n组建适当的风险评估管理与实施团队,以支持整个过程的推进,如成立由组建适当的风险评估管理与实施团队,以支持整个过程的推进,如成立由管理层、相关业务骨干、管理层、相关业务骨干、ITIT技术人员等组成的风险评估小组。评估团队应技术人员等组成的风险评估小组。评估团队应能够保证风险评估工作的有效开展。能够保证风险评估工作的有效开展。o选择方法选择方法n应考虑评估的目的、范围、时间、效果、人员素质等因素来选择具体的风应考虑评估的目的、范围、时间、效果、人员素质等因素来选择具体的风险判断方法,使之能够与组织环境和安全要求相适应。险判断方法,使之能够与组织环境和安全要求相适应。o获得支持获得支持n上述所
12、有内容确定后应得到组织的最高管理者的支持、批准,并对管理和上述所有内容确定后应得到组织的最高管理者的支持、批准,并对管理和技术人员进行传达和在组织范围就风险评估进行培训技术人员进行传达和在组织范围就风险评估进行培训资产识别o资产是具有价值的信息或资源,是安全策略保护的对象。它能够以多种形式存在,有无形的、有形的,有硬件、软件,有文档、代码,也有服务、形象等。机密性、完整性和可用性是评价资产的三个安全属性。信息安全风险评估中资产的价值不仅仅以资产的账面价格来衡量,而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。安全属性达成程度的不同将使资产具有不同的价值,而
13、资产面临的威胁、存在的脆弱性、以及已采取的安全措施都将对资产安全属性的达成程度产生影响。为此,有必要对组织中的资产进行识别。资产分类o风险评估中,资产大多属于不同的信息系统,如OA系统、网管系统、业务生产系统等,而且对于提供多种业务的组织,其支持业务持续运行的系统数量可能更多。这时首先需要将信息系统及相关的资产进行恰当的分类,以此为基础进行下一步的风险评估。在实际工作中,具体的资产分类方法可以根据具体的评估对象和要求,由评估者来灵活把握。o根据资产的表现形式,可将资产分为数据、软件、硬件、文档、服务、人员等类。风险评估尚需探索、贵在实践风险评估尚需探索、贵在实践o今年我有幸参加了国信办组织的一
14、些今年我有幸参加了国信办组织的一些试点工作试点工作o看到了试点单位的成绩和取得的经验,看到了试点单位的成绩和取得的经验,获益良多获益良多o也发现了还有不少问题急需探索和研也发现了还有不少问题急需探索和研究究参与了试点咨询工作o协助修订关于开展信息安全风险评估工作的意见,提协助修订关于开展信息安全风险评估工作的意见,提供相关的咨询和技术支持。供相关的咨询和技术支持。o参与试点的相关咨询工作参与试点的相关咨询工作n1 1、准备阶段:组织八个试点单位的相关人员进行培训,明确风险、准备阶段:组织八个试点单位的相关人员进行培训,明确风险评估流程和风险评估准备阶段的任务,协助试点单位制定其风险评评估流程和
15、风险评估准备阶段的任务,协助试点单位制定其风险评估实施方案。估实施方案。o标准培训标准培训o试点方案编制的培训试点方案编制的培训n2 2、实施阶段:调研试点方案实施情况,了解试点单位对评估及管、实施阶段:调研试点方案实施情况,了解试点单位对评估及管理的流程、方法、工具的使用存在的问题,充实和完善标准。理的流程、方法、工具的使用存在的问题,充实和完善标准。o选择重点单位进行调研,并对关键阶段进行蹲点,以切实了解单位试选择重点单位进行调研,并对关键阶段进行蹲点,以切实了解单位试点工作过程中存在的问题,为两个标准的完善提供实践素材;点工作过程中存在的问题,为两个标准的完善提供实践素材;o进行试点中期
16、总结,为指导意见提供阶段性素材;进行试点中期总结,为指导意见提供阶段性素材;o根据试点单位需求,进行有针对性的培训和咨询,协助完成试点工作根据试点单位需求,进行有针对性的培训和咨询,协助完成试点工作参与了试点咨询工作(续)(续)o总结阶段:协助国信办汇总试点工作情况,总总结阶段:协助国信办汇总试点工作情况,总结修改意见,并完善标准。结修改意见,并完善标准。n在各试点单位正式总结之前,召开专家组评审会;在各试点单位正式总结之前,召开专家组评审会;n为国信办试点工作总结提供基础素材。为国信办试点工作总结提供基础素材。o标准的完善标准的完善n充实和完善信息安全风险评估指南和信息安充实和完善信息安全风
17、险评估指南和信息安全风险管理指南,通过试点工作提出两个标准的全风险管理指南,通过试点工作提出两个标准的修改意见。同时进行与标准相关的配套理论、方法修改意见。同时进行与标准相关的配套理论、方法和规范的研究。和规范的研究。试点工作与标准验证试点工作与标准验证o试点工作对去年国信办组织制定的两项试行标准进试点工作对去年国信办组织制定的两项试行标准进行了验证,提出了修订建议行了验证,提出了修订建议o绝大多数试点单位大都参照了去年国信办和国家安绝大多数试点单位大都参照了去年国信办和国家安标委组织编写的信息安全风险评估指南及信标委组织编写的信息安全风险评估指南及信息安全风险管理指南。息安全风险管理指南。o
18、试点单位大都结合自身的具体情况,选择了相应的试点单位大都结合自身的具体情况,选择了相应的评估方法和适当的安全控制措施及管理流程,实践评估方法和适当的安全控制措施及管理流程,实践经验证明各试点单位评估基于的基本原则和核心方经验证明各试点单位评估基于的基本原则和核心方法与试行标准指南大体吻合一致。法与试行标准指南大体吻合一致。收获和体会收获和体会o提高了对风险评估工作的认识和理解提高了对风险评估工作的认识和理解n方法科学、机制长效方法科学、机制长效o为国信办风险评估工作文件起草积累了素材为国信办风险评估工作文件起草积累了素材o检验了标准,两项试行标准得到了基本肯定检验了标准,两项试行标准得到了基本
19、肯定o初步规范了评估内容,演练了评估的实施流初步规范了评估内容,演练了评估的实施流程程o体现了创新,积累了成果,培训了人才体现了创新,积累了成果,培训了人才试点工作技术上特点o方法科学,积极探索方法科学,积极探索o既注意了统一规范,又坚持了方法的多样性既注意了统一规范,又坚持了方法的多样性n注意遵循和验证标准(讨论稿)注意遵循和验证标准(讨论稿)n试行了部分评估技术方法,重视了评估的科学试行了部分评估技术方法,重视了评估的科学性性n评估方法的百花齐放和创新性评估方法的百花齐放和创新性o注意控制了评估自身的风险注意控制了评估自身的风险o及时总结经验和问题及时总结经验和问题典型方法之一:综合风险计
20、算法典型方法之一:综合风险计算法o评估过程规范化评估过程规范化n摸清家底:划分资产类型,建立重要资产清单,摸清家底:划分资产类型,建立重要资产清单,识别资产重要性识别资产重要性n分析威胁和分析脆弱性两种途径分析威胁和分析脆弱性两种途径n按层次分析脆弱性按层次分析脆弱性n判定安全时间及其影响判定安全时间及其影响n计算威胁风险值计算威胁风险值n制定风险控制措施制定风险控制措施典型方法之一:计算系统综合风险(续)典型方法之一:计算系统综合风险(续)o资产综合风险计算三种做法资产综合风险计算三种做法n选择该资产中分析风险最高的作为风险,乘以资产值,选择该资产中分析风险最高的作为风险,乘以资产值,作为该
21、资产风险作为该资产风险n将资产中每一威胁的风险之于资产值相乘,得到多个资将资产中每一威胁的风险之于资产值相乘,得到多个资产的风险值产的风险值n构建模型,进行综合计算构建模型,进行综合计算o综合风险:综合风险:nR=VR=V*c cR Rtiti*Q Qc c+A AR Rtiti*Q QA A+I IR Rtiti*Q Qi i n其中其中R:R:总风险,总风险,V:V:该资产得分,该资产得分,为威胁累计为威胁累计nC:C:机密性,机密性,I:I:完整性,完整性,A:A:可用性可用性典型方法之二:差距分析典型方法之二:差距分析o风险评估方法风险评估方法-差距分析法差距分析法n建立分析模型建立分
22、析模型o在风险评估中通过识别、判断和分析目标系统在风险评估中通过识别、判断和分析目标系统的安全现状与安全要求之间的差距确定系统风的安全现状与安全要求之间的差距确定系统风险的分析方法。也就是说,目标系统的可接受险的分析方法。也就是说,目标系统的可接受风险和系统残余风险间的差距就是系统存在的风险和系统残余风险间的差距就是系统存在的风险风险。构建差距分析法模型 o 风险分析模型风险分析模型差距分析法的实施路径差距分析法的实施路径o步骤一步骤一:调研目标系统状况调研目标系统状况o步骤二:确定信息系统安全要求步骤二:确定信息系统安全要求n任务任务1 1:确定信息系统安全等级:确定信息系统安全等级n任务任
23、务2 2:确定和规范化描述信息系统的安全要求:确定和规范化描述信息系统的安全要求o步骤三:评估信息系统安全现状步骤三:评估信息系统安全现状n任务任务1 1:信息系统安全现状评估报告:信息系统安全现状评估报告o步骤四:对信息安全风险进行差距分析和风险计算步骤四:对信息安全风险进行差距分析和风险计算n任务任务1 1:评估信息系统安全现状对信息系统安全要求的符合程度,:评估信息系统安全现状对信息系统安全要求的符合程度,即信息系统现有安全措施在当前系统运行环境下是否满足其安全即信息系统现有安全措施在当前系统运行环境下是否满足其安全要求要求n任务任务2 2:对信息系统安全执行能力进行评估,评估信息系统安
24、全:对信息系统安全执行能力进行评估,评估信息系统安全级(包括技术架构能力级、工程能力级和管理能力级的评定)级(包括技术架构能力级、工程能力级和管理能力级的评定),与要达到目标的安全等级与要达到目标的安全等级o步骤五:用户根据信息系统安全风险评估的结果进行风险控制,步骤五:用户根据信息系统安全风险评估的结果进行风险控制,形成满足其信息系统安全要求的信息系统安全保障能力形成满足其信息系统安全要求的信息系统安全保障能力。典型方法之三:量化风险典型方法之三:量化风险o对风险量化计算方法进行扩展对风险量化计算方法进行扩展n风险的计算方法目前还没有明细的技术标准,风险的计算方法目前还没有明细的技术标准,通
25、常效果比较好的计算方式为:通常效果比较好的计算方式为:nR RA AT TV=EV=E*D D;T=TsT=Ts*TfTf,E EA ATsTs,D=TfD=Tf*V Vn其中其中R R为风险值,为风险值,A A为资产价值,为资产价值,T T为威胁值,为威胁值,V V为脆弱性值,为脆弱性值,E E为资产损失产生的影响,为资产损失产生的影响,D D为资为资产暴露程度,产暴露程度,TsTs为威胁的严重程度,为威胁的严重程度,TfTf为威胁为威胁发生的可能性。发生的可能性。典型方法之三:量化风险(续)典型方法之三:量化风险(续)o在本次试点中,结合试点单位评估实践经验、以及在本次试点中,结合试点单位
26、评估实践经验、以及行业管理特性,有的试点单位对风险计算方法进行行业管理特性,有的试点单位对风险计算方法进行了如下的扩展:了如下的扩展:n其中:其中:c c代表代表“机密性方面的机密性方面的”、i i代表代表“完整完整性方面的性方面的”、a a代表代表“可用性方面的可用性方面的”,t t代表代表“技术方面的技术方面的”、m m代表代表“管理方面的管理方面的”、o o代代表表“运维方面的运维方面的”、W W为技术、运维和管理脆弱为技术、运维和管理脆弱性之间的相关性,性之间的相关性,Wt Wt、Wm Wm、Wo Wo 之和等于之和等于1 1。oaoiocmamimctaVVVVVVVVVtitcai
27、cAAAaicTTTomtWWWR典型方法之四:面向关键信息资产的评估方法典型方法之四:面向关键信息资产的评估方法(续)(续)o威胁路径分析法威胁路径分析法o面向关键信息资产的层次分析法面向关键信息资产的层次分析法o利用等级保护支撑平台的评估方法利用等级保护支撑平台的评估方法 试点工作出现了一批成果试点工作出现了一批成果o上海市的风险评估管理软件上海市的风险评估管理软件n评估模型和方法的创新与探索评估模型和方法的创新与探索o北京市利用了已有的工具平台,形成了评估北京市利用了已有的工具平台,形成了评估辅助工具平台辅助工具平台o黑龙江提出了基于模糊综合判定理论的风险黑龙江提出了基于模糊综合判定理论
28、的风险评估判定方法评估判定方法o既有量化的探索,也有定性为主的探索既有量化的探索,也有定性为主的探索o云南提出了增加业务流分析和已有控制措施云南提出了增加业务流分析和已有控制措施的有效性识别或判定的有效性识别或判定试点工作出现了一批成果(续)试点工作出现了一批成果(续)o国家税务总局提出了差距分析法,细化了流国家税务总局提出了差距分析法,细化了流程程o国电公司提出了符合行业特点的方法,初步国电公司提出了符合行业特点的方法,初步形成了行业安全评估方法论,涵盖了安全定形成了行业安全评估方法论,涵盖了安全定义、安全评测和风险分析的全过程义、安全评测和风险分析的全过程试点工作发现的问题试点工作发现的问
29、题o技术技术n评测工具,评测工具,缺乏统一的要求和资质认定缺乏统一的要求和资质认定n模拟环境或联机旁路测试环境的不完备和缺乏模拟环境或联机旁路测试环境的不完备和缺乏n测试深度的不平衡测试深度的不平衡o管理管理o标准规范标准规范n试行标准指南总体得到肯定,但尚需进一步完善试行标准指南总体得到肯定,但尚需进一步完善下一步建议下一步建议o认真总结经验认真总结经验o统一规划、建立制度。制定国家基础网络和重要信息系统的风统一规划、建立制度。制定国家基础网络和重要信息系统的风险评估总体规划以及险评估总体规划以及“十一五十一五”期间的工作计划。积极推进风期间的工作计划。积极推进风险评估基本管理制度的建立;应
30、尽快就国家基础信息网络和重险评估基本管理制度的建立;应尽快就国家基础信息网络和重要信息系统风险评估工作所涉及的领导体制、协调机制、认证要信息系统风险评估工作所涉及的领导体制、协调机制、认证与认可、监管和督察、评估时间、评估对象、评估范围、评估与认可、监管和督察、评估时间、评估对象、评估范围、评估方式、评估人员资质、评估结果发布和备案等内容,进一步开方式、评估人员资质、评估结果发布和备案等内容,进一步开展研究,形成风险评估工作管理法规制度展研究,形成风险评估工作管理法规制度o加快建立、逐步完善标准规范体系。标准规范是推广和实施风加快建立、逐步完善标准规范体系。标准规范是推广和实施风险评估工作的法
31、律依据和技术保障,要加快风险评估管理与技险评估工作的法律依据和技术保障,要加快风险评估管理与技术标准的制定和完善,术标准的制定和完善,研究评估机构服务标准、资质认可与资研究评估机构服务标准、资质认可与资质的核查评估的管理办法;尽快出台国家标准。质的核查评估的管理办法;尽快出台国家标准。建设独立自主、符合国际惯例的风险评估建设独立自主、符合国际惯例的风险评估技术支撑体系技术支撑体系o举国家之力,支持建设独立自主、符合国际举国家之力,支持建设独立自主、符合国际惯例的风险评估技术支撑体系。惯例的风险评估技术支撑体系。n建设国家基础信息网络和重要信息系统风险评估建设国家基础信息网络和重要信息系统风险评
32、估的基础设施和基础环境;的基础设施和基础环境;n落实开发相关技术和产品的攻关项目。通过研发落实开发相关技术和产品的攻关项目。通过研发自主关键技术和设备,满足国家网络基础设施和自主关键技术和设备,满足国家网络基础设施和重要信息系统的风险评估需求,支持安全评估应重要信息系统的风险评估需求,支持安全评估应用用n逐步建立符合国际惯例、达到国际先进水平的安逐步建立符合国际惯例、达到国际先进水平的安全评估技术支撑体系全评估技术支撑体系安全测试评估工具、平台与环境安全测试评估工具、平台与环境下一步建议(续)下一步建议(续)o加强风险评估工作队伍的建设,重视培训、建立风险加强风险评估工作队伍的建设,重视培训、
33、建立风险评估机构管理制度评估机构管理制度n在已有基础上,整合资源,分类指导,组建不同等级的风险评在已有基础上,整合资源,分类指导,组建不同等级的风险评估机构,分别承担国家和地方基础信息网络和重要信息系统以估机构,分别承担国家和地方基础信息网络和重要信息系统以及本行业信息系统风险评估工作,形成风险评估的骨干力量。及本行业信息系统风险评估工作,形成风险评估的骨干力量。n风险评估敏感性很强,如果引导不当,管理不到位,有可能因风险评估敏感性很强,如果引导不当,管理不到位,有可能因为风险评估带来新的安全隐患。对国家基础信息网络和重要信为风险评估带来新的安全隐患。对国家基础信息网络和重要信息系统的风险评估
34、,实行资质准入制度,只充许经国家批准的息系统的风险评估,实行资质准入制度,只充许经国家批准的风险评估机构实施风险评估。国家必须加强风险评估评估工作风险评估机构实施风险评估。国家必须加强风险评估评估工作的管理,建立服务标准、资质认可与资质核查评估制度。的管理,建立服务标准、资质认可与资质核查评估制度。限于水平和精力,不妥之处,欢迎批评指正限于水平和精力,不妥之处,欢迎批评指正!谢谢 谢谢!忧国忘家,捐躯济难,忠臣之志也。三国曹植求自诚表。22.7.3122.7.31Sunday,July 31,2022墨守成规,四平八稳,优柔寡断,畏首畏尾,不是企业家的气质。8:38:118:38:118:38
35、7/31/2022 8:38:11 AM心境,是一种情感状况,领有了好心情,也就拥有了,继而占有了年青跟健康。就拥有了对将来生活的憧憬,充斥等待,让咱们拥有一份善意情吧,由于生涯着就是荣幸和快活。22.7.318:38:118:38Jul-2231-Jul-22帮别人的事做完就忘记,别人为自己做的事时时记着,哪怕这个人只有那么一次好,他也是曾经赞助过你的人。8:38:118:38:118:38Sunday,July 31,2022每个人都是自己命运的建筑师。22.7.3122.7.318:38:118:38:11July 31,2022沙漠里的脚印很快就消逝了。一支支奋进歌却在跋涉者的心中长久
36、激荡。2022年7月31日上午8时38分22.7.3122.7.31君子务本,本立而道生。论语。2022年7月31日星期日上午8时38分11秒8:38:1122.7.31人生成功的秘诀是当好机会来临时,立刻抓住它。2022年7月上午8时38分22.7.318:38July 31,2022所谓企业管理就是解决一连串关系密切的问题,必须有系统地予以解决,否则将会造成损失。2022年7月31日星期日8时38分11秒8:38:1131 July 2022经理人员的任务则在于知人善任,提供企业一个平衡密合的工作组织。上午8时38分11秒上午8时38分8:38:1122.7.31对新的对象务必创出全新的概念。22.7.3122.7.318:388:38:118:38:11Jul-22安全工作是头等大事。2022年7月31日星期日8时38分11秒Sunday,July 31,2022位卑未敢忘忧国。陆游。22.7.312022年7月31日星期日8时38分11秒22.7.31谢谢各位!谢谢各位!
