● 摘要
信息安全风险评估是信息安全管理的重要环节,信息系统等级保护是按照要求对信息系统进行分级并实施相应的安全保护措施,现已成为国家对电子政务系统的强制性要求。研究如何把等级保护要求和风险评估模型有机结合,设计高效的风险评估模型,对于提高电子政务系统的安全运行性具有重要意义。本论文针对电子政务信息系统如何满足等级保护的标准来进行风险评估方法的设计,实现其关键技术。通过对国内外信息安全风险评估模型的选择和技术对比分析,论文设计的风险评估方法——利用信息系统的等级保护级别来对信息资产的重要性进行赋值,为资产重要性赋值提供了客观依据;同时依据国家标准《信息安全风险评估规范》进行威胁、脆弱性的赋值和风险值的计算。论文解决了电子政务信息系统资产赋值的关键技术,着重使用了基于国家标准的风险评估流程,完成了风险评估方法的设计,避免了《信息安全风险评估规范》中对资产重要性赋值方法过多依赖于人工访谈与专家经验所带来的主观因素,从而对电子政务信息系统的风险评估工作更有针对性。论文最后将设计的风险评估方法在具体的电子政务项目中进行应用和实施,并对实施结果进行了总结和评价,证明了方法的可用性。论文是方正信息安全公司重点项目“某电子政务业务系统风险评估合同”的成果之一。