信息安全风险管理制度

制度是反映和把握规律的重要形式，制度是机制的外在形式,机制是制度的核心内涵。今天小编为大家精心挑选了关于《信息安全风险管理制度》，供大家参考借鉴，希望可以帮助到有需要的朋友。

第一篇：信息安全风险管理制度

食品安全风险信息收集制度

1、为规范食品安全风险评估工作，根据《中华人民共和国食品安全法》和《中华人民共和国食品安全法实施条例》的有关规定，制定本规定。

2、本规定适用于企业产品的食品安全风险评估及信息收集工作。

3、质检科负责组织食品安全风险评估及信息的收集工作，并及时将食品安全风险评估及信息结果通报质量负责人。

4、有下列情形之一的，由质量负责人审核同意后向质检科下达风险监测任务。

(1)制定企业标准;

(2)通过危害分析或过程检查食品可能存在安全隐患的，

(3)消费者投诉存在重大食品安全的。

(4)在组织进行检验后认为需要进行食品安全风险评估的;

5、对于下列情形之一的，质检科可以做出不予评估的决定：

(1)通过现有的监督管理措施可以解决的; (2)通过检验可以得出结论的;

6、质检科按照风险评估实施方案，遵循危害识别、危害特征描述、暴露评估和风险特征描述的结构化程序开展风险评估。

7、质检科进行风险评估,对风险评估的结果和报告负责，并及时将结果、报告上报质量负责人。

8、食品安全风险信息的收集 (1)收集责任部门：质检科 (2)收集方式： a.检测化验异常的;

b.危害分析中存在重大食品安全隐患的;

c.日常检查监督中检查存在重大食品安全隐患的。 d.消费者投诉存在重大食品安全的;

e.上级监督部门检查存大重大食品安全的;

(3)食品安全风险信息质量技术科必须2小时之内向质量负责人进行通报，质量负责人及时组织进行风险评估或做好处理措施。

(4)质检科如实记录收集的信息，处理的方式及结果。

第二篇：信息安全风险评估管理办法

第一章 总 则

第一条 为规范信息安全风险评估(以下简称“风险评估”)及其管理活动，保障信息系统安全，依据国家有关规定，结合本省实际，制定本办法。

第二条 本省行政区域内信息系统风险评估及其管理活动，适用本办法。

第三条 本办法所称信息系统，是指由计算机、信息网络及其配套的设施、设备构成的，按照一定的应用目标和规则对信息进行存储、传输、处理的运行体系。

本办法所称重要信息系统，是指履行经济调节、市场监管、社会管理和公共服务职能的信息系统。

本办法所称风险评估，是指依据有关信息安全技术与管理标准，对信息网络和信息系统及由其存储、传输、处理的信息的保密性、完整性和可用性等安全属性进行评价的活动。 第四条 县以上信息化主管部门负责本行政区域内风险评估的组织、指导和监督、检查。

跨省或者全国统一联网运行的重要信息系统的风险评估，可以由其行业管理部门统一组织实施。

涉密信息系统的风险评估，由国家保密部门按照有关法律、法规规定实施。 第五条 风险评估分为自评估和检查评估两种形式。 自评估由信息系统的建设、运营或者使用单位自主开展。 检查评估由县以上信息化主管部门在本行政区域内依法开展，也可以由信息系统建设、运营或者使用单位的上级主管部门依据有关标准和规范组织进行，双方实行互备案制度。 第二章 组织与实施

第六条 信息化主管部门应当定期发布本行政区域内重要信息系统目录，制定检查评估实施计划，并对重要信息系统管理技术人员开展相关培训。

第七条 江苏省信息安全测评中心为本省从事信息安全测评的专门机构，受省信息化主管部门委托，具体负责对从事风险评估服务的社会机构进行条件审核、业务管理和人员培训，组织开展全省重要信息系统的外部安全测试。 第八条 信息系统的建设、运营或者使用单位可以依托本单位技术力量，或者委托符合条件的风险评估服务机构进行自评估。

第九条 重要信息系统新建、扩建或者改建的，在设计、验收、运行维护阶段，均应当进行自评估。重要信息系统废弃、发生重大变更或者安全状况发生重大变化的，应当及时进行自评估。

第十条 本省行政区域内信息系统应当定期开展风险评估，其中重要信息系统应当至少每三年进行一次自评估或检查评估。在规定期限内已进行检查评估的重要信息系统，可以不再进行自评估。

第十一条 县以上信息化主管部门委托符合条件的风险评估服务机构，对本行政区域内重要信息系统实施检查评估。 第十二条信息系统的建设、运营或使用单位委托风险评估服务机构开展自评估,应当签订风险评估协议;信息化主管部门委托开展检查评估，受委托的风险评估服务机构应当与被评估单位签订风险评估协议。

对于评估活动可能影响信息系统正常运行的，风险评估服务机构应当事先告知被评估单位，并协助其采取相应的预防措施。

第十三条 风险评估应当出具评估报告。评估报告应当包括评估范围、内容、依据、结论和整改建议等。

风险评估服务机构出具的自评估报告，应当经被评估单位认可，并经双方部门负责人签署后生效。

风险评估服务机构出具的检查评估报告，应当报委托其开展评估的主管部门审定;主管部门应当自收到评估报告之日起10个工作日内，将审定结果和整改意见告知被评估单位。 第十四条 自评估单位应当根据自评估报告进行整改，并自报告生效之日起30日内，将自评估情况和整改方案报本级信息化主管部门备案。

接受检查评估的单位应当自收到检查评估报告之日起30日内，根据整改建议提出整改方案、明确整改时限，报本级信息化主管部门备案。

受委托进行风险评估的服务机构应当指导被评估单位开展整改，并对整改措施的有效性进行验证。第十五条 信息化主管部门应当定期公布已开展自评估、检查评估单位备案名单，督促未备案单位开展自评估。

第十六条 未发生重大变更的重要信息系统再次进行风险评估的，可以参考前次评估结果，重点评估以下内容：

(一)前次风险评估发现的主要问题及整改情况;

(二)核心网络设备、服务器、安全防护设施、应用软件等系统关键部位发生局部变更后，可能出现的安全隐患;

(三)新的信息技术可能对信息系统安全造成的影响;

(四)其他需要重点评估的内容。 第三章 风险评估机构

第十七条 在本省行政区域内从事自评估服务的社会机构，应当具备下列条件，并报经其所在地省辖市信息化主管部门备案：

(一)依法在中国境内注册成立并在本省设有机构，由中国公民、法人投资或者由其它组织投资;

(二)从事信息安全检测、评估相关业务两年以上，无违法记录;

(三)专业评估人员不少于10人且均为中国公民，接受并通过相关培训考核，无违法记录;其中主要评估人员2人以上，具有由国家权威机构认定的或由其它机构认定的相当水平的信息安全服务资格，具备独立实施风险评估的技术能力;

(四)评估使用的技术装备、设施符合国家信息安全产品要求;

(五)具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等内部管理制度;

(六)法律法规规定的其它条件。

第十八条 在本省从事检查评估的社会机构，除具备第十七条规定条件外，还应当同时具备下列条件，并经其所在地省辖市信息化主管部门审核后，报省信息化主管部门备案：

(一)具有国家权威机构认定的信息安全服务资质;

(二)评估人员不少于20人，其中主要评估人员4人以上，具有国家权威机构认定的或由其它机构认定的相当水平的信息安全服务资格。

第十九条 省辖市以上信息化主管部门应当自收到备案申请报告之日起10个工作日内，告知备案结果，并定期向社会公布本行政区域内风险评估服务机构备案名单，对其服务进行管理、监督。

第二十条 从事风险评估服务的机构，应当履行下列义务：

(一)遵守国家有关法律法规和技术标准，提供科学、安全、客观、公正的评估服务，保证评估的质量和效果;

(二)保守在评估活动中知悉的国家秘密、商业秘密和个人隐私，防范安全风险，不得私自占有、使用或向第三方泄露相关技术数据、业务资料等信息和资源;

(三)对服务人员进行安全保密教育，签订服务人员安全保密责任书，并负责检查落实。 第四章 监督管理

第二十一条 违反本办法，有以下行为之一的，由信息化主管部门责令其限期改正，逾期不改正的，予以通报;对直接责任人员，由所在单位或上级主管部门视情给予行政处分：

(一)违反第九条、第十条规定，信息系统的建设、运营或者使用单位未按照规定开展自评估;重要信息系统的建设、运营或者使用单位不接受、不配合开展检查评估的;

(二)违反第十四条规定，自评估单位未按照规定将自评估情况和整改方案、接受检查评估单位未按照规定将整改方案报本级信息化主管部门备案的;

(三)违反第八条规定，信息系统的建设、运营或者使用单位委托不符合条件的机构进行风险评估，并造成不良后果的。第二十二条 违反本办法第十二条规定，风险评估服务机构未事先告知被评估单位、协助其采取预防措施的，由信息化主管部门责令限期改正，并给予警告;造成不良后果的，可视情暂停其备案1年，直至取消其备案。

第二十三条 违反本办法第二十条规定，风险评估服务机构未经许可向第三方提供被评估单位相关信息的，或者从事影响评估客观、公正的活动的，由信息化主管部门视情暂停其备案一年，直至取消其备案。造成被评估单位经济损失的，应予合理赔偿;从中不当获利的，应予退还;构成犯罪的，应依法追究其刑事责任。

第二十四条 信息化主管部门或其他有关部门工作人员有下列行为之一的，由其监察部门或上级主管部门视情对相关责任人员给予行政处分;构成犯罪的，依法追究刑事责任：

(一)利用职权索取、收受贿赂，或者玩忽职守、滥用职权的;

(二)泄露信息系统的运营、使用单位或者个人的有关信息、资料及数据文件的。 第五章 附 则

第二十五条 本办法自发布之日起施行，由省信息化主管部门负责解释。

第三篇：浅谈部队信息安全保密风险管理

柳立强 刘 清 武瑞凯

信息化条件下，军事秘密面临的风险不断加大，无意识泄密、间接泄密、计算机网络泄密等现象时有发生，给部队信息安全保密工作带来了严重挑战。信息安全保密风险管理从风险识别出发，对军事秘密面临的风险进行客观地全面分析和评估，并对风险实施有效控制，变事后补救为事先防范，这是形势发展的需要，是确保军事秘密安全的需要，也是做好信息化条件下部队保密工作的必然要求。

一、系统识别，找出部队信息安全保密重要风险

信息安全保密风险识别是指运用有关知识、方法、系统、全面和连续地发现部队军事秘密面临的风险。风险识别是风险管理的首要步骤。部队保密工作面临的风险是错综复杂的，需要进行认识和辨别。只有全面、准确地发现和辨识风险，才能进行风险评估和选择风险控制的措施。风险识别的方法有很多，比如保密清单损失法、专家调差分析法、经典案例分析法、等级全息建模法等等，不管用哪种方法，都要系统的识别以下几个方面。

1.对保密资产的识别。保密资产就是要保护的秘密资产。主要包括涉密的电子文档、涉密的实体信息以及涉密的装备设施等。一个单位保密资产越多，秘密的级别越高，保密的风险就越大，需要采取的措施就要更严密。

2.对资产脆弱性的识别。要清楚这些保密资产它们的弱电在哪里，也就是说，这些保密资产哪些方面容易被敌对势力利用。一般情况下，可以将脆弱性分为技术脆弱性和管理脆弱性两类。技术脆弱性主要是保护资产所涉及到的所有设备，包括移动载体、计算机网络、通信设备等本身所存在的一些技术隐患，比如一些后门程序等。管理的脆弱性主要是规章制度、责任区分等问题，要识别出在这些方面部队有哪些弱点。

3.对威胁的识别。威胁是指可能对保密资产或组织造成损害的一种潜在的侵害。比如信息泄露、信息破坏等。这些侵害有些是非人为，可能是无意识的行为，有些是故意的，是敌方情报机关或者我方人员有意识的行为。以上关于保密资产、脆弱性以及威胁的识别，不仅要清楚它们单个因素的种类，同是还要结合部队已有的安全措施，找出威胁利用脆弱性的可能性，以及发生以后对保密资产可能造成的损失，这就是保密风险。这些风险因素有很多，要通过进一步的识别，找出一些发生可能性大并且发生以后对保密资产影响较大的风险，也就是重要风险，将其进行评估。

二、量化评估，确定部队信息安全保密风险等级

在对信息安全保密风险进行充分的认识和分析之后，就应该对风险进行量化评估，确定保密的风险等级。保密风险评估综合分析资产、威胁、脆弱性、安全措施，判断系统风险，为部队识别安全重点、选择合理使用是安全对策提供依据，是保密风险管理的基础。

1.建立合理的评估指标体系。指标体系的建立对于风险的定量化评级至关重要。建立的指标不合理、不科学，即使评估的方法再科学，也会偏离评估的方向。风险识别阶段已经将保密重要风险因素进行了筛选，可依据筛选的这些风险因素进行归类。对哪些风险应该属于什么类别，要做到心中有数，这样便于评估，同事也便于制定合理的措施。风险从组织领导、保密环境、涉密岗位人员、技术条件、制度建设等方面进行归纳，形成保密风险的一级指标，再将一级指标进行系统归类，细分出更多的指标。

2.选择合适的评估方法。目前在风险评估领域评估方法已经十分广泛。部队在保密风险评估工作中起步较晚，但是这些方法可以借鉴。模糊综合评判法可以很好的解决保密风险评估量化问题。将建立的底层保密风险评估指标让专家打分，根据打分的情况利用模糊数学的一些方法进行处理，再通过底层指标的风险计算一级指标值，最终得出部队的保密风险综合值。

3.对评估的结果进行认真分析。风险评估一般将单位的风险状况区分为很低、低、中、高、很高五个等级。要根据评估的结果分析是什么原因导致的，对这些原因进行分析，进而找出影响评估结果的关键因素，为实施风险控制提供思路。

三、综合控制，规避和降低部队信息安全保密风险

在部队信息安全保密风险进行定量化评估以后，就应该根据风险评估的结果，对重要风险进行规避或降低，将保密风险控制在可接受范围内。风险控制是一个系统工程，不仅要找出风险和控制措施间的有效对应关系，还要从单位的保密文化环境、防范体系、防范策略等多方面进行综合控制，这样才能做到有的放矢，提高保密控制的效果。

1.营造信息安全保密的文化环境。忽略了官兵的信息安全保密意识和安全保密技能的提高，安全措施就不可能有效的发挥作用。通过对部队发生的失泄密事故调查和分析，大部分原因都是由人的因素引起的，这其中包括保密意识的淡薄和保密技能的缺失。因此，要制定周密的计划，通过安全教育和技能培训，提高官兵的信息安全保密意识和应对保密风险控制的技能，使遵守各种保密制度成为官兵的一种习惯，从而形成良好的保密文化环境。

2.构建全维实时的信息安全保密风险防范体系。要从组织领导、技术条件、管理制度、保密法规等各个方面，综合运用各种手段，实时监督各类安全措施的执行，落实安全奖惩措施，不断削除信息安全保密风险管理中的弱点。

3.注意防范策略的灵活运用。防范策略主要包括规避风险、降低风险和接受风险。信息安全保密工作中有些风险属于高风险，对于这类风险情况，可采取规避的方法，减少部队的损失;有些风险情景是部队在训练、演习、学习等工作中必须面对的，这时主要采取相应的安全措施来降低风险，使其控制在部队能接受的范围;有些风险是无法消除的，这时部队要勇敢面对，但是要实时监控，使其不影响保密工作的总体成效。

信息安全保密风险管理不是一蹴而就的，而是一个周期的螺旋式发展过程。由于部队任务转换、环境变化、人员流动等各种因素，再加上风险情景的不断变化，使得部队必须不断研究风险管理的新情况、新问题，不断完善风险管理的过程，健全风险管理的防范体系，提高信息化条件下保密管理水平。

第四篇：企业食品安全风险监测和评估信息收集制度

第一章 总则

第一条 为规范我厂食品安全风险监测和风险评估工作，及时、准确地发现食品安全问题，为食品安全决策提供科学依据，根据《中华人民共和国食品安全法》、《中华人民共和国农产品质量安全法》、《中华人民共和国食品安全法实施条例》的规定，结合我市实际制定本办法。 第二条 食品安全风险监测和评估应本着代表性、客观性、准确性和及时性的原则进行。 第三条食品安全风险评估的范围包括对本单位区域性食品、食品添加剂、食品相关产品中生物性、化学性和物理性危害进行的评估。

第四条 办公室负责全市食品安全风险监测和风险评估的组织领导及综合协调工作，及时将监测和评估结果报企业负责人。

办公室负责本厂食品安全风险监测和风险评估日常管理工作。组织开展调研，并向企业负责人提出工作建议，执行相关决议;制定、组织实施食品安全风险监测和评估方案;负责对监测结果进行分析，及时向上级报告监测情况，根据监测结果，认为有需要进行风险评估的，下达风险评估任务。

第五条 食品风险监测和评估所获得的数据、结果、结论等相关信息实行保密制度，在批准公布前，任何部门和个人不得以任何方式擅自引用或对外公布。 第二章 风险监测和实施

第六条 食品安全风险监测分日常监测、专项监测和应急监测。

日常监测是各相关部门根据有关法律法规和规定而开展的常规性监测活动。

专项监测是各相关部门结合我厂实际情况或根据需要及主管部门的规定而开展的专项监测活动。

应急监测是针对突发性食源性疾病信息、食品安全热点问题、突发食品安全事故和新发现的食品安全问题等而开展和实施的应急监测活动。

第七条 食品安全风险监测遵循优先选择原则，兼顾日常监测范围和重点，将以下情况作为优先监测的内容：

(一)健康危害较大、风险程度较高以及污染水平呈上升趋势的;

(二)易于对婴幼儿、孕产妇、老年人、病人造成健康影响的;

(三)使用范围广、流通过程长、消费量大的;

(四)以往导致食品安全事故或者受到消费者关注的;

第八条 办公室于每年12月底前制定并印发下食品安全风险监测方案。 第九条食品安全风险监测方案应包括以下内容：

(一)承担监测任务的部门;

(二)具体监测的内容，包括样品种类、数量、采样来源、检验项目;

(三)样品的采样、封装、运输及保存条件;

(四)采样方法、检验方法及依据;

(五)结果汇总及报送机构;

(六)监测完成时间及结果报送日期。

第九条 承担食品安全风险监测工作的部门应根据要求，完成监测方案规定的监测任务，按时向办公室报送监测数据和分析结果，保证监测数据真实、准确、客观。

第十条 办公室负责对监测数据进行收集和汇总分析，及时向企业负责人报告监测数据和分析结果。

第三章 风险评估原则和实施

第十一条 食品安全风险评估以食品安全风险监测和监督管理信息、科学数据及其他有关信息为基础，遵循科学、透明和个案处理的原则进行。 第十二条承担风险评估任务的部门应独立开展风险评估，保证风险评估结论的科学、客观和公正。

第十三条 有下列情形之一的，经市企业负责人审核同意后，由办公室组织组成评估委员会下达食品安全风险评估任务：

(一)为制订或修订食品安全标准提供科学依据需要进行风险评估的;

(二)通过食品安全风险监测或者接到举报发现食品可能存在安全隐患的，在组织进行检验后认为属于区域性污染，需要进行食品安全风险评估的;

(三)主管行政部门根据法律法规的规定认为需要进行风险评估的其他情形。

第十四条 办公室组织组成评估委员会进行风险评估，对风险评估的结果和报告负责，并及时将结果、报告上报市食安办。

第十五条 发生下列情形之一的，由办公室组织组成的评估委员会应立即成立临时工作组，制定应急评估方案。

(一)处理重大食品安全事故需要的;

(二)公众高度关注的食品安全问题需要尽快解答的;

(三)有关部门监督管理工作需要并提出应急评估建议的;

(四)其它需要通过风险评估解决的食品安全事故的。 风险评估结果由办公室负责解释。 第十六条 本管理办法用语定义如下：

食品安全风险监测,指通过系统和持续地收集食源性疾病、食品污染及食品中有害因素的监测数据及相关信息，并进行综合分析的过程。

食品安全风险评估,指对食品、食品添加剂中生物性、化学性和物理性危害对人体健康可能造成的不良影响所进行的科学评估，包括危害识别、危害特征描述、暴露评估、风险特征描述等。

食品安全，指食品无毒、无害，符合应当有的营养要求，对人体健康不造成任何急性、亚急性或者慢性危害。

食品安全事故，指食物中毒、食源性疾病、食品污染等源于食品，对人体健康有危害或者可能有危害的事故。

食品污染,是指根据国际食品安全管理的一般规则，在食品生产、加工或流通等过程中因非故意原因进入食品的外来污染物，一般包括金属污染物、农药残留、兽药残留、真菌毒素及食源性致病微生物、寄生虫等。

食品中的有害因素,指在食品生产、流通、餐饮服务等环节，除了食品污染以外的其他可能途径进入食品的有害因素，包括食品中自然存在的有害物、违法添加的非食用物质、超范围或超限量使用的食品添加剂及被作为食品添加剂使用的有害物质。

危害,指食品中所含有的对健康有潜在不良影响的生物、化学或物理因素或食品存在状况。 危害识别,指对食品中可能产生不良健康影响的某种危害的定性描述。 第三十四条 本管理办法办公室负责解释，自发布之日起实施。

发布日期：2011年5月1日

第五篇：信息安全风险评估服务

1、风险评估概述

1.1风险评估概念

信息安全风险评估是参照风险评估标准和管理规范，对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析，判断安全事件发生的概率以及可能造成的损失，提出风险管理措施的过程。当风险评估应用于IT领域时，就是对信息安全的风险评估。 风险评估从早期简单的漏洞扫描、人工审计、渗透性测试这种类型的纯技术操作，逐渐过渡到目前普遍采用国际标准的BS779

9、ISO1779

9、国家标准《信息系统安全等级评测准则》等方法，充分体现以资产为出发点、以威胁为触发因素、以技术/管理/运行等方面存在的脆弱性为诱因的信息安全风险评估综合方法及操作模型。

1.2风险评估相关

资产，任何对组织有价值的事物。

威胁，指可能对资产或组织造成损害的事故的潜在原因。例如，组织的网络系统可能受到来自计算机病毒和黑客攻击的威胁。

脆弱点，是指资产或资产组中能背威胁利用的弱点。如员工缺乏信息安全意思，使用简短易被猜测的口令、操作系统本身有安全漏洞等。

风险，特定的威胁利用资产的一种或一组薄弱点，导致资产的丢失或损害饿潜在可能性，即特定威胁事件发生的可能性与后果的结合。 风险评估，对信息和信息处理设施的威胁、影响和脆弱点及三者发生的可能性评估。 风险评估也称为风险分析，就是确认安全风险及其大小的过程，即利用适当的风险评估工具，包括定性和定量的方法，去顶资产风险等级和优先控制顺序。

2、风险评估的发展现状

2.1信息安全风险评估在美国的发展

第一阶段(60-70年代)以计算机为对象的信息保密阶段

1067年11月到1970年2月，美国国防科学委员会委托兰德公司、迈特公司(MITIE)及其它和国防工业有关的一些公司对当时的大型机、远程终端进行了研究，分析。作为第一次比较大规模的风险评估。 特点：

仅重点针对了计算机系统的保密性问题提出要求，对安全的评估只限于保密性，且重点在于安全评估，对风险问题考虑不多。 第二阶段(80-90年代)以计算机和网络为对象的信息系统安全保护阶段

评估对象多为产品，很少延拓至系统，婴儿在严格意义上扔不是全面的风险评估。

第三阶段(90年代末，21世纪初)以信息系统为对象的信息保障阶段

随着信息保障的研究的深入，保障对象明确为信息和信息系统;保障能力明确来源于技术、管理和人员三个方面;逐步形成了风险评估、自评估、认证认可的工作思路。 2.2我国风险评估发展

● 2002年在863计划中首次规划了《系统安全风险分析和评估方法研究》课题

● 2003年8月至2010年在国信办直接指导下，组成了风险评估课题组

● 2004● 2005年，国家信息中心《风险评估指南》，《风险管理指南》 年全国风险评估试点

● 在试点和调研基础上，由国信办会同公安部，安全部，等起草了《关于开展信息安全风险评估工作的意见》征求意见稿

● 2006年，所有的部委和所有省市选择1-2单位开展本地风险评估试点工作

● 2015年，国家能源局根据《电力监控系统安全防护规定》(国家发展和改革委员会令2014年第14号)制定了《电力监控系统安全防护总体方案》(国能安全[2015]36号)等安全防护方案和评估方案，其中相关规定明确风险评估在电力系统中的需要

● 2017年7月，《中华人民共和国网络安全法》颁布，其中第二章第十七条“国家推进网络安全社会化服务体系建设，鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务”。明确了需要社会广泛参与服务。

3、风险评估要素关系模型

4、风险评估流程

● 确定资产评估范围 ● 资产的识别和影响 ● 威胁识别 ● 脆弱性评估 ● 威胁分析 ● 风险分析 ● 风险管理

5、风险评估原则

● 符合性原则 ● 标准性原则 ● 规范性原则

● 可控性原则 ● 保密性原则

● 整体性原则 ● 重点突出原则 ● 最小影响原则

6、评估依据的标准和规范

 GB/T 20984-2007 《信息安全技术 信息安全风险评估规范》  《电力监控系统安全防护规定》(发改委14号令)

 《关于印发电力监控系统安全防护总体方案等安全防护方案和评估规范的通知》(国能安全[2015]36号)

 GB/T 18336-2001 《信息技术 安全技术 信息技术安全性评估准则》

 ISO/IEC 27001:2005《信息安全管理体系标准》

 GB/T 22239-2008 《信息安全技术 信息系统安全等级保护基本要求》

 GB/T 22240-2008 《信息安全技术 信息系统安全等级保护定级指南》

 GB/T 25058-2010 《信息安全技术 信息系统安全等级保护实施指南》

 《电力行业信息安全等级保护基本要求》(电监信息[2012]62号)  《关于开展电力行业信息系统安全等级保护定级工作的通知》(电监信息[2007]34号)

 《电力行业信息系统等级保护定级工作指导意见》(电监信息[2007]44号)

7、风险评估的发展方向

8.1风险评估行业发展方向

从2003年7月至今，我国信息安全风险评估工作大致经历了三个阶段，即调查研究阶段、标准编制阶段和试点工作阶段。

历时两年、经过调查研究、标准编制和试点工作三个阶段，目前，我国信息安全风险评估工作已取得阶段性的成果，此间也是《关于开展信息安全风险评估工作的意见》政策文件，以及《信息安全风险评估指南》和《信息安全风险管理指南》两项标准历经酝酿、形成到不断完善的三个时期。

信息安全风险是人为或自然的威胁利用系统存在的脆弱性引发的安全事件，并由于受损信息资产的重要性而对机构造成的影响。而信息安全风险评估，则是指依据国家风险评估有关管理要求和技术标准，对信息系统及由其存储、处理和传输的信息的机密性、完整性和可用性等安全属性进行科学、公正的综合评价的过程。通过对信息及信息系统的重要性、面临的威胁、其自身的脆弱性以及已采取安全措施有效性的分析，判断脆弱性被威胁源利用后可能发生的安全事件以及其所造成的负面影响程度来识别信息安全的安全风险。

信息安全风险评估是信息安全保障体系建立过程中的重要的评价方法和决策机制。没有准确及时的风险评估，将使得各个机构无法对其信息安全的状况做出准确的判断。所以，所谓安全的信息系统，实际是指信息系统在实施了风险评估并做出风险控制后，仍然存在可被接受的残余风险的信息系统。因此，需要运用信息安全风险评估的思想和规范，对信息系统展开全面、完整的信息安全风险评估。

信息安全风险评估在信息安全保障体系建设中具有不可替代的地位和重要作用。风险评估既是实施信息系统安全等级保护的前提，又是信息系统安全建设和安全管理的基础工作。通过风险评估，能及早发现和解决问题，防患于未然。当前，尤其迫切需要对我国信息化发展过程中形成的基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统进行持续的风险评估，随时掌握我国重要信息系统和基础信息网络的安全状态，及时采取有针对性的应对措施，为建立全方位的国家信息安全保障体系提供服务。通过风险评估可以有助于认清信息安全环境和信息安全状况，明确信息化建设中各级的责任，采取或完善更加经济有效的安全保障措施，保证信息安全策略的一致性和持续性，并进而服务于国家信息化发展，促进信息安全保障体系的建设，全面提高信息安全保障能力。其意义具体体现在于：风险评估是信息安全建设和管理的关键环节，它是需求主导和突出重点原则的具体体现，是分析确定风险的过程，加强风险评估工作是信息安全工作的客观需要。

国家信息安全风险评估政策文件和标准的即将出台与颁布将为我国信息安全风险评估工作的开展提供科学的政策和技术依据。相信在未来，我国信息安全风险评估的政策思路、标准规范、实践经验将会有进一步提升。

8.2公司自身的发展方向

就当前公司而言，最紧要的是对于信息安全风险评估资质的申请，和人员技术的培训。依托现有的省公司调度自动化处的合作，促进与新型能源企事业合作，大力开展光伏电站入网前的安全防护检查与检测，同时拓展到风电、水电和火电的并网后的定期检查。在这个方面，我司现在的业务水平尚有欠缺，技术方面还有不足。因此现在在面临这行业蓬勃发展的前提下，我们要在资质和技术上双管齐下。另外，在正式介入这个行业后，我们不能只局限于和电厂的合作，更应该面向整个社会，提高社会参与度。据河南同样类型的企业，其在2017年一月至2017年七月营业额同比增长200%。在当前情况下信息安全风险评估无疑是巨大的一块蛋糕。越来越多的企业都在信息化、网络化，意味着这块蛋糕的体积还在不断地增加。所以我们应该把握时机。充分利用已有的资源，抢占市场，占据优势地位。