信息系统安全风险评估从信息系统拥有者的角度来看可划分为三种形式,即自我评估、委托评估和检查评估。
1、自我评估
自我评估是指信息系统拥有者指定的本机构信息系统安全管理人员,在信息系统运行维护中使用相应的安全风险评估工具,按照一定的规范进行的评估活动。从信息系统拥有者的角度来看是完全主动的行为,其优点是可方便地进行经常性的评估,及时采取对策降低安全风险,是一种“自查自纠”的方式。这种方式因为在一个机构内部进行,因此一般不会引入评估带来的心的风险。缺点是专业性和客观性稍差。
2、委托评估
委托评估是信息系统拥有者选择委托具有相应资质的评估单位,按照一定的规范信息系统进行独立的评估活动。从信息系统拥有者的角度来看是完全自愿的,并具有一定的选择性。其优点是专业性、公正性和客观性较强。需注意:对于评估可能引入的信新风险,要加强控制。
3、检查评估
检查评估,是信息系统拥有者的上级机关,或国家赋予信息安全管理职能机关授权的评估单位根据一定的管理权限和程序,按照一定的规范对信息系统进行的独立的评估活动。其优点是专业性、公正性、客观性较强,一般也不会引入评估带来的新的风险。从不同的角度来看,对信息系统安全风险评估可以有不同的划分形式。
对于涉密信息系统而言,安全风险评估主要有两种形式,即自我评估和检查评估。一般意义上的委托评估从保密管理的要求来看是不适用于涉密信息系统。
自我评估是信息系统拥有者主要进行的日常的评估,是涉密保障涉密信息系统日常安全的重要手段。因此,在国家保密局指导和相关保密标准的指引下,各部门各单位对所拥有的涉密信息系统进行自我评估应成为安全风险评估的主要方式。
检查评估是国家保密局授权的,经中央批准成立的专门评估机构-国家保密局涉密信息系统安全保密测评中心实施的。可以在已建涉密信息系统安全改进方案设计之前进行,作为方案设计的依据;可以在已建涉密信息系统审批运行之前进行,作为保密局审批的依据;也可以在已建涉密信息系统开通运行一段时间之后进行,作为控制新的安全风险的依据。
重视信息系统安全风险评估是信息化比较发达国家的基本经验。我国当前高度重视信息系统安全风险评估的工作。涉密信息系统的安全风险评估已经进行了一些有益的实践,并奠定了良好的工作基础。但还存在着一些问题需要加以解决,如建立完善的工作机制、提高评估能力和技术水平等。只要我们认识明确、措施得力,实实在在的推进涉密信息系统安全风险评估这项工作,我国涉密信息系统的安全保障能力将会提高到一个新的水平。