信息安全風險評估：筑牢工控系統(tǒng)安全防線

來源：發(fā)布時間：2025-06-03

信息安全風險評估是指依據(jù)國家有關信息安全風險評估標準和管理規(guī)范，在信息系統(tǒng)在接入互聯(lián)網(wǎng)之前，對信息系統(tǒng)及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行風險評估，提前確定系統(tǒng)的網(wǎng)絡安全漏洞情況，是否符合系統(tǒng)入網(wǎng)安全評估的測評標準以及網(wǎng)絡安全等級保護測評的標準。

它要對信息系統(tǒng)的資產(chǎn)價值、潛在威脅、薄弱環(huán)節(jié)、已采取的防護措施等進行分析，判斷安全事件發(fā)生的概率以及可能造成的損失，并結合資產(chǎn)的重要程度來識別信息系統(tǒng)的安全風險，以及提出抵御威脅的防護對策和整改措施，以防范和化解風險，或者將殘余風險控制在可接受的水平，從而保障網(wǎng)絡與信息安全。

信息安全風險評估方式

信息安全風險評估主要有自評估和檢查評估兩種形式。

自評估是指信息系統(tǒng)擁有、運營或使用單位發(fā)起的對本單位信息系統(tǒng)進行的風險評估。
檢查評估是指信息系統(tǒng)上級管理部門或有關職能部門組織的信息安全風險評估。

自評估和檢查評估可依托自身技術力量進行，也可委托具有相應資質的第三方機構提供技術支持，如國家工控安全質檢中心西南實驗室（哨兵科技）。

2019年7月，國家工業(yè)信息安全發(fā)展研究中心成立了國家工業(yè)控制系統(tǒng)與產(chǎn)品安全質量監(jiān)督檢驗中心西南實驗室（簡稱“西南實驗室”），哨兵科技作為西南實驗室落地實體企業(yè)，擁有CNAS、CMA、信息安全應急處理、信息安全風險評估等多項資質，各類知識產(chǎn)權20余項，至今服務大型企業(yè)和各類企業(yè)1000余家。