?12月16日到25日�����,信息技術部對集團及子公司的所有信息系統進行了一次信息安全風險評估�����。通過對系統的脆弱性����、威脅����、風險分析�,潛伏威脅����、防護能力評估等測試評估�,摸清了系統存在的問題和漏洞�,為后續更有效的防范信息系統風險做好基礎工作����。
信息安全風險評估是加強信息安全保障體系建設和管理的關鍵環節��。通過開展信息安全風險評估工作�,可以發現信息安全存在的主要問題和矛盾���,找到解決諸多關鍵問題的辦法����。只有在正確地�����、全面地理解風險后��,才能在控制風險����、減少風險����、轉移風險之間做出正確的判斷����,決定調動多少資源���、以什么代價�、采取什么樣的應對措施去化解���、控制風險��。
本次風險評估不僅采用了漏洞掃描���、人工審計�����、滲透性測試這種類型的純技術操作�����,還使用了目前普遍采用國際標準的BS7799��、ISO17799����、國家標準《信息系統安全等級評測準則》等方法����,充分體現以資產為出發點��、以威脅為觸發因素����、以技術��、管理����、運行等方面存在的脆弱性為誘因的信息安全風險評估綜合方法及操作模型�。
通過本次基于多角度��、多緯度的全面的信息風險評估�����,細粒度呈現系統的安全現狀�����,由風險評估形成的風險報告����,將作為后期的應急響應制度建設����、立體的安全防護體系建設的基礎����。
信息技術部 牟曉威
