摘要：近年来，随着信息技术的快速发展，信息产业在国民经济中的比重迅速上升，信息要素逐渐成为社会发展的决定性力量之一。在这种背景下，信息安全特别是网络信息安全变得越来越重要，与此密切相关的信息安全风险管理已成为一个重要的研究课题。

关键词：网络信息安全;风险评估;管理

在新时期，网络安全逐渐成为人们关注的主要问，网络信息安全是互联网发展所产生的一个普遍问题。在当前社会发展背景下，信息安全风险已成为企业关注的焦点，其安全性对企业甚至整个社会的健康发展都有重大影响。为保证网络信息安全，迫切需加强安全风险评估。现阶段的主要任务是逐步建立和优化信息安全评估的相关制度与标准，信息管理部门需不断提高评估效率及质量，积极引进先进技术与理念，以提高信息安全水平。

一、网络信息安全概述及其重要性

1、概述。在信息层面，共享性和增殖性等特征促使信息在当前社会发展中发挥着重要作用。在信息安全保障方面，信息安全风险管理作为一项基础性工作，应渗透到整个系统中去。从概念上讲，信息安全涵盖计算机和相关配套设备、设施安全等方面。因此，信息安全应是一个宽泛的概念，涉及大量的学科知识和实践方法，企业的商业机密或政务信息等将应用到信息安全相关技术，但信息安全保障具有复杂性特征，需各领域专业人才的配合。就信息安全而言，网络信息安全属于主要构成，其内容广泛且丰富。在网络信息安全防护中，信息安全管理是一项关键的系统工程。在概念层面，信息安全管理需涵盖信息风险识别和控制。

2、重要性。在新时期，网络安全逐渐成为人们关注的主要问题。从某种程度上说，网络信息安全是互联网广泛发展所带来的常见问题。在互联网产业发展的早期阶段，人们关注的是与网络连接相关的内容，互联网的无限制构建属于当前时期的主要发展方向。计算机病毒侵害和网络欺诈等事件曝光后，公众意识到了网络和信息安全的重要性。随着我国信息化建设的快速发展，网络信息安全任务也面临着各种挑战。在日常生活中，许多繁琐的任务开始交付给计算机实现，如电子银行业务信息和交易信息传输等，可能存在一系列敏感信息。若这些信息传输渠道缺乏可靠性，则在传输中存在信息泄漏风险。因此，做好网络信息安全防护工作，对各行业的稳定运行具有重要意义。

二、信息安全风险评估与应对方案

1、信息安全风险评估概念。信息安全不是一个客观指标，而是一种程度。必须通过有效的评估来确定风险等级，即风险一旦发生波及的范围和程度。信息安全风险评估是从风险管理的角度，在定性和定向分析基础上，明确信息化业务和系统资产可能存在的风险。同时，分析威胁成为实际事件后将带来的危害程度，针对性地选择抵抗威胁的安全等级和防护对策，最大限度地提高风险造成的经济损失。

2、信息系统安全风险防控方向。首先，规模风险。要识别可能引起风险的各种要素，选择适当的方式加强防范和控制，避免各种因素进一步发展衍生的各种风险事件，以控制风险等级或风险发生。其次，降低风险。对于可能出现的风险问题，应采取保障措施，将风险事件波及范围尽量降至最低。最后，转移风险。具体来说，通过有效措施将不可控风险转移到覆盖范围，即利用可承受的组织或生产环节承担风险的负面影响。信息安全风险事件发生后，其负面影响应控制在有效范围内，即损失的总价值在可控成本范围内。

三、网络信息风险评估内容及流程

1、风险评估内容。风险评估对信息系统资产、面临的威胁和选定的防控制策略等进行系统分析，以评估信息系统在技术和管理等方面的潜在风险。信息安全风险评估内容是风险评估期，需考量风险所造成的要素和构成内容等。在评估信息风险时，存在许多可能已存在但无法直接识别的风险因素，即潜在风险较高。风险会导致安全需求，安全需求只能在各种安全措施的基础上实现，安全措施需通过抵御威胁来防控风险的发生和发展。有效的风险评估意义在于了解风险、应对风险和控制成本。对于风险处理环节，要加强对管理成本的关注，并在此基础上选择合理的控制方案。对同一类型的风险实施同一方案，有助于在保证效果的基础上控制风险评估成本。其脆弱性是与信息资产弱点或安全风险有关的特征，包括系统漏洞、配置不合理、缺乏专业人才等。威胁是指可能导致信息安全事故和组织信息资产损失的活动。

2、风险评估执行流程。在风险评估中，关键内容包括前期准备、风险要素识别、风险事件分析、风险事件防控。在评估威胁和弱点时，分析基于短期视角，无需考虑现有的控制措施，对威胁和弱点的赋值可参照一般情况进行。

3、风险分析的基本原则。在风险分析过程中，值得关注的问题是资产、威胁和脆弱性因素。每个要素都有一个独立属性，而资产的属性是价值，威胁的属性是其主体、受影响对象和动机等。风险分析的主要内容包括：①全面调查资产，复制资产价值;②有效评估潜在威胁，描述其属性，并复制威胁发生频率;③有效评估脆弱性，复制资产的脆弱性;④整合威胁和脆弱性评估结果，实施发生风险的评估;⑤通过整合脆弱程度和安全事件后影响程度的资产价值，计算事件后可能的损失;⑥整合安全事件风险和造成的损失，判断事件发生后企业面临的不利影响，即风险值。

4、风险评估原则。信息安全风险评估是一项复杂而系统的工作。若评估流程缺乏规范或缺陷，将导致评估结果与真实事件存在不同程度的差异，严重时将直接影响企业的切身利益。因此，在评估过程中必须遵循基本原则和相关规范。①可行性原则。评估流程需确保标准化、具体可行性和可控范围;②风险规模原则。在实施评估前，必须全面考虑评估本身可能造成的风险，并通过相关措施防控。对防控难度高的风险，需提前提出防控方案，并确定其可行性;③质量控制原则。关注评估过程中的组织、管理和控制。通过加强评估项目管理，实现质量控制;④保密性原则。对于被评估单位可能披露的敏感信息，评估机构应与公司签订保密协议，在未来调查活动中对涉及企业隐私的信息进行保密。为获取授权的信息不能自行披露。

四、网络信息安全管理

在网络信息安全防护中，信息安全管理是一项关键的系统工程。在概念层面，信息安全管理需涵盖信息风险识别和控制。在过去的信息安全管理实践中，管理者易忽视系统性在安全管理中的重要性，盲目地从技术层面考量，控制信息系统安全性相关问题或因素。这种安全管理策略能产生预期的效果，但在日益复杂的信息安全管理环境中，单纯技术控制的局限性越来越突出。结合当前信息安全管理要求，管理者需结合信息系统目的及其安全管理意义，设计系统化安全策略和方案，专业人员需对网络信息安全做出可靠的评估。在具体实施中，相关管理者应注重安全策略实施效果，结合以往实践经验，逐步建立完善的安全管理体系，实现信息安全管理的规范化。

综上所述，随着科技的发展及社会的进步，我国的信息化水平有了很大提高，网络信息安全与过去相比有了很大进步，但与国际先进水平还有较大差距。所以要认清我国网络信息安全的发展现状和存在的问题，明确解决办法;同时，必须意识到网络信息安全风险评估开展的重要性，将安全评估贯穿于整个信息系统的生命周期，充分认识系统的安全风险;在网络信息安全管理中，坚持动态性和持续性原则，以便采取有效的安全防范措施，更好地保障网络信息的安全。

参考文献

[1]吴维桥.网络信息安全风险评估工作探讨[J].信息技术与信息化，2015（01）.

[2]苟光磊.网络与信息安全的风险评估及管理[J].重庆工学院学报（自然科学版），2015（09）.

[3]林燕.网络信息安全的风险评估及管理策略[J].信息系统工程，2020（08）.