1、 風險評估概述1.1風險評估概念信息安全風險評估是參照風險評估標準和管理規范，對信息系統的資產價值、潛在威脅、薄弱環節、已采取的防護措施等進行分析，判斷安全事件發生的概率以及可能造成的損失，提出風險管理措施的過程。當風險評估應用于IT領域時，就是對信息安全的風險評估。 風險評估從早期簡單的漏洞掃描、人工審計、滲透性測試這種類型的純技術操作，逐漸過渡到目前普遍采用國際標準的BS7799、ISO17799、國家標準信息系統安全等級評測準則等方法，充分體現以資產為出發點、以威脅為觸發因素、以技術/管理/運行等方面存在的脆弱性為誘因的信息安全風險評估綜合方法及操作模型。1.2風險評估相關資產，任何對組織有價值的事物。威脅，指可能對資產或組織造成損害的事故的潛在原因。例如，組織的網絡系統可能受到來自計算機病毒和黑客攻擊的威脅。脆弱點，是指資產或資產組中能背威脅利用的弱點。如員工缺乏信息安全意思，使用簡短易被猜測的口令、操作系統本身有安全漏洞等。風險，特定的威脅利用資產的一種或一組薄弱點，導致資產的丟失或損害餓潛在可能性，即特定威脅事件發生的可能性與后果的結合。 風險評估，對信息和信息處理設施的威脅、影響和脆弱點及三者發生的可能性評估。風險評估也稱為風險分析，就是確認安全風險及其大小的過程，即利用適當的風險評估工具，包括定性和定量的方法，去頂資產風險等級和優先控制順序。2、 風險評估的發展現狀2.1信息安全風險評估在美國的發展第一階段（60-70年代）以計算機為對象的信息保密階段1067年11月到1970年2月，美國國防科學委員會委托蘭德公司、邁特公司（MITIE）及其它和國防工業有關的一些公司對當時的大型機、遠程終端進行了研究，分析。作為第一次比較大規模的風險評估。特點：僅重點針對了計算機系統的保密性問題提出要求，對安全的評估只限于保密性，且重點在于安全評估，對風險問題考慮不多。第二階段（80-90年代）以計算機和網絡為對象的信息系統安全保護階段評估對象多為產品，很少延拓至系統，嬰兒在嚴格意義上扔不是全面的風險評估。第三階段（90年代末，21世紀初）以信息系統為對象的信息保障階段隨著信息保障的研究的深入，保障對象明確為信息和信息系統；保障能力明確來源于技術、管理和人員三個方面；逐步形成了風險評估、自評估、認證認可的工作思路。2.2我國風險評估發展 2002年在863計劃中首次規劃了系統安全風險分析和評估方法研究課題 2003年8月至2010年在國信辦直接指導下，組成了風險評估課題組 2004年，國家信息中心風險評估指南，風險管理指南 2005年全國風險評估試點 在試點和調研基礎上，由國信辦會同公安部，安全部，等起草了關于開展信息安全風險評估工作的意見征求意見稿 2006年，所有的部委和所有省市選擇1-2單位開展本地風險評估試點工作 2015年，國家能源局根據電力監控系統安全防護規定（國家發展和改革委員會令2014年第14號）制定了電力監控系統安全防護總體方案（國能安全201536號）等安全防護方案和評估方案，其中相關規定明確風險評估在電力系統中的需要 2017年7月，中華人民共和國網絡安全法頒布，其中第二章第十七條“國家推進網絡安全社會化服務體系建設，鼓勵有關企業、機構開展網絡安全認證、檢測和風險評估等安全服務”。明確了需要社會廣泛參與服務。3、 風險評估要素關系模型4、 風險評估流程 確定資產評估范圍 資產的識別和影響 威脅識別 脆弱性評估 威脅分析 風險分析 風險管理5、 風險評估原則 符合性原則 標準性原則 規范性原則 可控性原則 保密性原則 整體性原則 重點突出原則 最小影響原則6、 評估依據的標準和規范 GB/T 20984-2007信息安全技術信息安全風險評估規范 電力監控系統安全防護規定（發改委14號令） 關于印發電力監控系統安全防護總體方案等安全防護方案和評估規范的通知（國能安全201536號） GB/T 18336-2001 信息技術 安全技術 信息技術安全性評估準則 ISO/IEC 27001:2005信息安全管理體系標準 GB/T 22239-2008 信息安全技術 信息系統安全等級保護基本要求 GB/T 22240-2008 信息安全技術 信息系統安全等級保護定級指南 GB/T 25058-2010 信息安全技術 信息系統安全等級保護實施指南 電力行業信息安全等級保護基本要求（電監信息201262號） 關于開展電力行業信息系統安全等級保護定級工作的通知（電監信息200734號） 電力行業信息系統等級保護定級工作指導意見（電監信息200744號）7、 風險評估的發展方向8.1風險評估行業發展方向從2003年7月至今，我國信息安全風險評估工作大致經歷了三個階段，即調查研究階段、標準編制階段和試點工作階段。歷時兩年、經過調查研究、標準編制和試點工作三個階段，目前，我國信息安全風險評估工作已取得階段性的成果，此間也是關于開展信息安全風險評估工作的意見政策文件，以及信息安全風險評估指南和信息安全風險管理指南兩項標準歷經醞釀、形成到不斷完善的三個時期。信息安全風險是人為或自然的威脅利用系統存在的脆弱性引發的安全事件，并由于受損信息資產的重要性而對機構造成的影響。而信息安全風險評估，則是指依據國家風險評估有關管理要求和技術標準，對信息系統及由其存儲、處理和傳輸的信息的機密性、完整性和可用性等安全屬性進行科學、公正的綜合評價的過程。通過對信息及信息系統的重要性、面臨的威脅、其自身的脆弱性以及已采取安全措施有效性的分析，判斷脆弱性被威脅源利用后可能發生的安全事件以及其所造成的負面影響程度來識別信息安全的安全風險。信息安全風險評估是信息安全保障體系建立過程中的重要的評價方法和決策機制。沒有準確及時的風險評估，將使得各個機構無法對其信息安全的狀況做出準確的判斷。所以，所謂安全的信息系統，實際是指信息系統在實施了風險評估并做出風險控制后，仍然存在可被接受的殘余風險的信息系統。因此，需要運用信息安全風險評估的思想和規范，對信息系統展開全面、完整的信息安全風險評估。信息安全風險評估在信息安全保障體系建設中具有不可替代的地位和重要作用。風險評估既是實施信息系統安全等級保護的前提，又是信息系統安全建設和安全管理的基礎工作。通過風險評估，能及早發現和解決問題，防患于未然。當前，尤其迫切需要對我國信息化發展過程中形成的基礎信息網絡和關系國家安全、經濟命脈、社會穩定等方面的重要信息系統進行持續的風險評估，隨時掌握我國重要信息系統和基礎信息網絡的安全狀態，及時采取有針對性的應對措施，為建立全方位的國家信息安全保障體系提供服務。通過風險評估可以有助于認清信息安全環境和信息安全狀況，明確信息化建設中各級的責任，采取或完善更加經濟有效的安全保障措施，保證信息安全策略的一致性和持續性，并進而服務于國家信息化發展，促進信息安全保障體系的建設，全面提高信息安全保障能力。其意義具體體現在于：風險評估是信息安全建設和管理的關鍵環節，它是需求主導和突出重點原則的具體體現，是分析確定風險的過程，加強風險評估工作是信息安全工作的客觀需要。國家信息安全風險評估政策文件和標準的即將出臺與頒布將為我國信息安全風險評估工作的開展提供科學的政策和技術依據。相信在未來，我國信息安全風險評估的政策思路、標準規范、實踐經驗將會有進一步提升。 8.2公司自身的發展方向就當前公司而言，最緊要的是對于信息安全風險評估資質的申請，和人員技術的培訓。依托現有的省公司調度自動化處的合作，促進與新型能源企事業合作，大力開展光伏電站入網前的安全防護檢查與檢測，同時拓展到風電、水電和火電的并網后的定期檢查。在這個方面，我司現在的業務水平尚有欠缺，技術方面還有不足。因此現在在面臨這行業蓬勃發展的前提下，我們要在資質和技術上雙管齊下。另外，在正式介入這個行業后，我們不能只局限于和電廠的合作，更應該面向整個社會，提高社會參與度。據河