2022国家安全风险评估工作6篇

2022国家安全风险评估工作6篇2022国家安全风险评估工作　　2022年中小学生国家安全知识测试卷答案　　题号　　一填空题　　二单选题　　三多选题　　得分　　四判断题五简答题总分　　1.请完成安下面是小编为大家整理的2022国家安全风险评估工作6篇,供大家参考。

篇一：2022国家安全风险评估工作

　　2022年中小学生国家安全知识测试卷答案

　　题号

　　一填空题

　　二单选题

　　三多选题

　　得分

　　四判断题五简答题总分

　　1.请完成安全教育平台上的2022年中小学生国家安全教育专题活动（活动时间4.10-5.10）后再做此试卷。2.考试为开卷考试，如果确实不会，请向父母和老师寻求帮助。3.低年级的学生可以请家长或老师进行念题作答。4.考试结束后，希望大家牢记知识点，共同维护国家安全！5.试卷包含总体国家安全观、党的十九大精神、国家安全相关法律法规以及密码法有关内容共五大题，总计100分，其中填空题5题（20分），单选题5题（10分），多选题5题（20分），判断题10题（20分），简答题3题（30分）。

　　一、填空题（5题，共计20分）

　　1.每年4月15日

　　为全民国家安全教育日。

　　2.党的十八届三中全会决定，成立中央国家安全委员会，完善国家安

　　全体制和国家安全战略，确保国家安全。

　　3.中央国安办组织设计的全民国家安全教育活动标识由数字415、红星和

　　光芒组成。

　　4.国家安全和社会稳定是改革发展的前提。

　　5.发现危害国家安全的行为或线索，可以拨打12339举报。

　　二、单选题（5题，共计10分）

　　1.我国第一部《国家安全法》是（A）年出台的。

　　A.1993

　　B.1994

　　C.1995

　　D.1996

　　2.国家安全工作应当坚持总体国家安全观，以（A）为宗旨。

　　A.人民安全

　　B.政治安全

　　C.经济安全

　　D.社会安全

　　3．《国家安全法》（B）起施行。

　　A.2015年4月15日

　　B.2015年7月1日

　　C.2015年10月1日

　　D.2015年11月1日

　　4.《国家安全法》是经（D）通过的。

　　A.中国人民政治协商会议B.国务院常务会议

　　C.全国人民代表大会

　　D.全国人民代表大会常务委员会

　　5.《中华人民共和国密码法》的施行日期是（C）。

　　A.2019年10月1日

　　B.2019年10月26日

　　C.2020年1月1日

　　D.2020年4月15日

　　三、多选题（5题，共计20分）

　　1.国家秘密的密级分为（ABC）。

　　A.绝密

　　B.机密

　　C.秘密

　　D.内部

　　2.坚持中国共产党对国家安全工作的领导，建立（AC）的国家安全领导

　　体制。

　　A.集中统一

　　B.统分结合

　　C.高效权威

　　D.协调高

　　效

　　3.用于保护国家秘密信息的密码是（AB）。

　　A.核心密码

　　B.普通密码

　　C.商用密码

　　D.高级密码

　　4．国家建立（ABD）的国家安全危机管控制度。

　　A.统一领导

　　B.协同联动

　　C.高效权威

　　D.有序高

　　效

　　5.《国家安全法》第十七条规定，国家采取一切必要的防卫和管控措施，

　　维护国土安全。该处的“国土”包括：（ABCD）

　　A.领陆

　　B.领海

　　C.领空

　　D.内水

　　四、判断题（10题，共计20分）

　　1.为维护国家安全，保卫人民民主专政的政权和中国特色社会主义制度，

　　保护人民的根本利益，保障改革开放和社会主义现代化建设顺利进行，实

　　现中华民族伟大复兴，根据刑法，制定国家安全法。（X）

　　2.维护国家安全，应当遵守宪法和法律，坚持社会主义法治原则，尊重和

　　保障人权，依法保护公民的权利和自由。（√）

　　3.《反间谍法》的立法目的是防范、制止和惩治间谍行为，维护国家安

　　全。（√）

　　4.中华人民共和国公民有维护国家的安全、荣誉和利益的义务，不得有危

　　害国家的安全、荣誉和利益的行为。（√）

　　5.故意阻碍国家安全机关依法执行任务，未使用暴力、威胁方法，造成严

　　重后果的，由其所在单位或者上级主管部门予以处分。（X）

　　6.对非法持有属于国家秘密的文件、资料和其他物品的，以及非法持有、

　　使用专用间谍器材的，国家安全机关可以依法对其人身、物品、住处和其

　　他有关的地方进行搜查；对其非法持有的属于国家秘密的文件、资料和其他物品，以及非法持有、使用的专用间谍器材予以没收。（√）7.对协助国家安全机关工作或者依法检举、控告的个人和组织，任何个人和组织不得压制和打击报复。（√）8.在紧急情况下，中华人民共和国**可以决定全国或者个别省、自治区、直辖市进入紧急状态。（X）9.有关部门根据情况向中央国家安全领导机构提交国家安全风险评估报告。（X）10.对可能即将发生或者已经发生的危害国家安全的事件，县级以上地方人民政府及其有关主管部门应当立即按照规定向上一级人民政府及其有关主管部门报告，不可以越级上报。（X）五、简答题（3题，共计30分）1.什么是国家安全？答：根据《国家安全法》第2条规定，国家安全是指国家政权、主权、统一和领土完整、人民福祉、经济社会可持续发展和国家其他重大利益相对处于没有危险和不受内外威胁的状态，以及保障持续安全状态的能力。2.为什么说维护国家安全是全社会的共同义务？答：《国家安全法》第11条规定，中华人民共和国公民、一切国家机关和武装力量、各政党和各人民团体、企业事业组织和其他社会组织，都有维护国家安全的责任和义务。中国的主权和领土完整不容侵犯和分割。维护国家主权、统一和领土完整是包括港澳同胞和台湾同胞在内的全中国人民的共同义务。

　　3.国家安全宣传教育保障的内容是什么？答：根据《国家安全法》第76条规定，国家加强国家安全新闻宣传和舆论引导，通过多种形式开展国家安全宣传教育活动，将国家安全教育纳入国民教育体系和公务员教育培训体系，增强全民国家安全意识。

　　

　　

篇二：2022国家安全风险评估工作

　　2022年中小学生国家安全知识测试卷

　　题号

　　一填空题

　　二单选题

　　三多选题

　　得分

　　四判断题五简答题总分

　　1.请完成安全教育平台上的2022年中小学生国家安全教育专题活动（活动时间4.10-5.10）后再做此试卷。2.考试为开卷考试，如果确实不会，请向父母和老师寻求帮助。3.低年级的学生可以请家长或老师进行念题作答。4.考试结束后，希望大家牢记知识点，共同维护国家安全！5.试卷包含总体国家安全观、党的十九大精神、国家安全相关法律法规以及密码法有关内容共五大题，总计100分，其中填空题5题（20分），单选题5题（10分），多选题5题（20分），判断题10题（20分），简答题3题（30分）。

　　一、填空题（5题，共计20分）

　　1.每年

　　为全民国家安全教育日。

　　2.

　　决定，成立中央国家安全委员会，完善国家安全

　　体制和国家安全战略，确保国家安全。

　　3.中央国安办组织设计的全民国家安全教育活动标识由

　　红星

　　和光芒组成。

　　4.

　　和社会稳定是改革发展的前提。

　　5.发现危害国家安全的行为或线索，可以拨打

　　举报。

　　二、单选题（5题，共计10分）

　　1.我国第一部《国家安全法》是（）年出台的。

　　A.1993

　　B.1994

　　C.1995

　　D.1996

　　2.国家安全工作应当坚持总体国家安全观，以（）为宗旨。

　　A.人民安全

　　B.政治安全

　　C.经济安全

　　D.社会安全

　　3．《国家安全法》（）起施行。

　　A.2015年4月15日

　　B.2015年7月1日

　　C.2015年10月1日

　　D.2015年11月1日

　　4.《国家安全法》是经（）通过的。

　　A.中国人民政治协商会议B.国务院常务会议

　　C.全国人民代表大会

　　D.全国人民代表大会常务委员会

　　5.《中华人民共和国密码法》的施行日期是（）。

　　A.2019年10月1日

　　B.2019年10月26日

　　C.2020年1月1日

　　D.2020年4月15日

　　三、多选题（5题，共计20分）

　　1.国家秘密的密级分为（）。

　　A.绝密

　　B.机密

　　C.秘密

　　D.内部

　　2.坚持中国共产党对国家安全工作的领导，建立（）的国家安全领导体

　　制。

　　A.集中统一

　　B.统分结合

　　C.高效权威

　　D.协调高效

　　3.用于保护国家秘密信息的密码是（）。

　　A.核心密码

　　B.普通密码

　　C.商用密码

　　D.高级密码

　　4．国家建立（）的国家安全危机管控制度。

　　A.统一领导

　　B.协同联动

　　C.高效权威

　　D.有序高效

　　5.《国家安全法》第十七条规定，国家采取一切必要的防卫和管控措施，

　　维护国土安全。该处的“国土”包括：（）

　　A.领陆

　　B.领海

　　C.领空

　　D.内水

　　四、判断题（10题，共计20分）

　　1.为维护国家安全，保卫人民民主专政的政权和中国特色社会主义制度，

　　保护人民的根本利益，保障改革开放和社会主义现代化建设顺利进行，实

　　现中华民族伟大复兴，根据刑法，制定国家安全法。（）

　　2.维护国家安全，应当遵守宪法和法律，坚持社会主义法治原则，尊重和

　　保障人权，依法保护公民的权利和自由。（）

　　3.《反间谍法》的立法目的是防范、制止和惩治间谍行为，维护国家安

　　全。（）

　　4.中华人民共和国公民有维护国家的安全、荣誉和利益的义务，不得有危

　　害国家的安全、荣誉和利益的行为。（）

　　5.故意阻碍国家安全机关依法执行任务，未使用暴力、威胁方法，造成严

　　重后果的，由其所在单位或者上级主管部门予以处分。（）

　　6.对非法持有属于国家秘密的文件、资料和其他物品的，以及非法持有、

　　使用专用间谍器材的，国家安全机关可以依法对其人身、物品、住处和其

　　他有关的地方进行搜查；对其非法持有的属于国家秘密的文件、资料和其

　　他物品，以及非法持有、使用的专用间谍器材予以没收。（）

　　7.对协助国家安全机关工作或者依法检举、控告的个人和组织，任何个人和组织不得压制和打击报复。（）8.在紧急情况下，中华人民共和国**可以决定全国或者个别省、自治区、直辖市进入紧急状态。（）9.有关部门根据情况向中央国家安全领导机构提交国家安全风险评估报告。（）10.对可能即将发生或者已经发生的危害国家安全的事件，县级以上地方人民政府及其有关主管部门应当立即按照规定向上一级人民政府及其有关主管部门报告，不可以越级上报。（）五、简答题（3题，共计30分）1.什么是国家安全？

　　2.为什么说维护国家安全是全社会的共同义务？

　　3.国家安全宣传教育保障的内容是什么？

　　

　　

篇三：2022国家安全风险评估工作

　　北京市卫生健康委员会关于印发2022年北京市食品安全标准与监测评估工作要点的通知

　　制定机关公布日期施行日期

　　文号主题类别效力等级时效性

　　2022.03.222022.03.22

　　食品安全地方规范性文件

　　现行有效

　　正文：

　　---------------------------------------------------------------------------------------------------------------------------------------------------北京市卫生健康委员会关于印发2022年北京市食品安全标准与监测评估工作要点的通知各区卫生健康委、北京经济技术开发区社会事业局，市疾病预防控制中心、市卫生健康监督所，各有关机构：

　　现将《2022年北京市食品安全标准与监测评估工作要点》印发你们，请认真贯彻执行。北京市卫生健康委员会

　　2022年3月22日2022年北京市食品安全标准与监测评估工作要点一、食品安全信息化建设1.食品安全综合信息平台投入试运行，着力开展对平台的宣传和培训，利用大数据实现食品安全风险监测智能化监管，将平台对接和使用率纳入各区卫生健康委考核，各区卫生健康委积极组织辖区内医院完成HIS系统与平台的对接。二、食品安全标准管理2.完成北京市食品安全地方标准审评委员会换届，修订完善地方标准审评委员会章程。积极开展食品安全地方标准立项征集和制定工作。3.完善食品企业标准备案告知承诺制，规范食品企业标准备案后管理流程，继续改进备案系统。市区

　　两级监督机构做好备案政策培训、咨询解答、备案后管理等工作。4.强化食品安全国家标准实施，按照国家要求完成食品安全国家标准跟踪评价任务。市疾控中心做好

　　食品安全标准宣传培训、跟踪评价和咨询解答工作，利用食品安全综合信息平台建立常见问题咨询解答题库，加强各区标准解答人员培训，帮助各方正确理解和使用标准。

　　三、食品安全风险监测评估5.完成2022年北京市重要民生实事项目“加大食品药品安全保障力度”，重点针对近年来我市居民食品消费的新趋势开展监测。6.根据国家卫生健康委印发的《2022年国家食品安全风险监测计划》及市食品药品安全委员会下发的《北京市2022年食品药品安全重点工作安排》，形成《2022年北京市食源性疾病监测方案》及《2022年北京市食品污染及有害因素监测方案》，并组织全市开展监测。7.开展对《食品安全风险监测管理规定》《食品安全风险评估管理规定》《北京市食品安全事故流行病学调查工作规范（试行）》的培训，提高对政策文件的理解。8.完善三级公立医院公共卫生履职情况评估食源性疾病工作考核标准，强化医疗机构食源性疾病工作责任，压实食源性疾病工作任务，促进医疗机构食源性疾病工作提升。9.完善北京市食品安全风险评估工作机制，印发《北京市食品安全风险评估专家委员会章程》。依托《海产品中放射性元素的检测技术及风险评估研究》科研项目，完善食品安全风险评估技术方法和基础数据。四、食品安全与营养科普宣传10.依照国家有关宣传主题和北京实际，开展食品安全宣传周活动，对误食毒蘑菇引起中毒等近年来我市食品安全新问题开展系列宣传。11.采取公开遴选、政府采购等方式，通过线上线下等多种渠道开展食品安全国家标准宣传和科普，宣传国标10项以上。创新方式方法继续举办食品安全标准大课堂。12.推进合理膳食乡村示范工作，开展合理膳食促进和营养素养提升适宜技术在示范村实施应用和效果评估。五、加强综合管理13.督促区卫生健康行政部门切实履行食品安全风险监测、分析、研判、会商、交流、通报、报告等职责，加强对属地医疗机构的管理。研究通过制定综合性食品安全工作考核指标对各区卫生健康行政部门食品安全工作进行评价。——结束——

　　

　　

篇四：2022国家安全风险评估工作

　　2022年国家网络安全宣传周携手推动网络安全发展心得体会

　　网络安全是数字化转型的基础，近年来随着数字经济建设的深入，网络安全的重要性将日益凸显。9月5日至11日，是2022年国家网络安全宣传周。今年的国家网络安全宣传周期间，全国各省市区、各行业系统都结合实际，举办了系列活动，携手推动网络安全发展。

　　网络安全事关人民权益。《中国互联网络发展状况统计报告》显示，截至2022年6月，我国网民规模为10.51亿，互联网普及率达74.4%，互联网已经与人们的日常工作生活息息相关，因此，人人参与网络安全建设势在必行。近年来，电信诈骗、冒充“公检法”要求汇款、用户个人数据泄露……互联网不法行为屡屡出现在公众视野，这些现象表明，在互联网时代，要想保障群众网络权益，必须从个人、监管机构两方面抓起，一方面个人应注意保护隐私数据，避免泄露，及时举报网络不法信息，另一方面相关机构也应担负起监督、管控责任，对违法信息的传播源问责到底。

　　网络安全事关企业发展。在这个“万物互联”的时代，各行各业都离不开网络。互联网在极大提高生产力的同时，也为企业带来许多

　　网络安全风险的挑战。华为公司推出HiSec3.0，以“正向建、反向查”为基础，构建全网主动防御体系；今年3月腾讯安全联合实验室等多个机构共同推出《2022产业互联网安全十大趋势》……众多头部企业纷纷布局网络安全产业。此外，各地政府部门也组织开展了系列活动，助力当地企业筑牢网络安全“铜墙铁壁”，比如湖北武汉出台系列政策支持网络安全人才发展，宁波市北仑区多部门联合打造“网络安全助企团”服务企业网络安全，重庆两江新区开展聘请网络安全名企为辖区企业提供免费网络安全技术检查。面对持续增加的网络威胁，企业需加强网络安全防范意识，健全网络风险评估机制，开好“发展”与“安全”的双轮车。

　　网络安全事关国家安全。在网络安全形势日趋复杂的今天，中国面临着复杂的外部环境，9月5日，国家计算机病毒应急处理中心和360公司发布了关于西北工业大学遭受美国国家安全局网络攻击的调查报告，美国国家安全局（NSA）下属的特定入侵行动办公室（TAO）使用了40余种不同的专属网络攻击武器……网络安全早已成为国家安全的重要一部分。中国提出“四项原则”“五点主张”等中国智慧和中国方案，为网络空间安全发展指明方向。目前，国家层面已制定网络安全国家标准340余项，颁布《数据安全法》《个人信息保护法》

　　《关键信息基础设施安全保护条例》等系列法律法规，各地也在通过制定政策、增加投入、培养人才等手段大力发展网络安全产业，为我国的网络安全发展提供坚实基础。

　　网络安全为人民，网络安全靠人民。网络安全宣传周将有力推动全社会网络安全意识和防护技能的提升，对于维护国家网络安全、保障人民群众合法权益具有重要意义。我们每个人都应该自觉成为网络安全的参与者、建设者、维护者，共同营造正能量的、安全的网络空间。

　　

　　

篇五：2022国家安全风险评估工作

　　2022食品安全法实施条例

　　《中华人民共和国食品安全法》已由中华人民共和国第十一届全国人民代表大会常务委员会第七次会议于2022年2月28日通过，现予公布，自2022年6月1日起施行。

　　2022食品安全法实施条例第一章总则第一条根据《中华人民共和国食品安全法》(以下简称食品安全法)，制定本条例。第二条县级以上地方人民政府应当履行食品安全法规定的职责;加强食品安全监督管理能力建设，为食品安全监督管理工作提供保障;建立健全食品安全监督管理部门的协调配合机制，整合、完善食品安全信息#络，实现食品安全信息共享和食品检验等技术资源的共享。第三条食品生产经营者应当依照法律、法规和食品安全标准从事生产经营活动，建立健全食品安全管理制度，采取有效管理措施，保证食品安全。食品生产经营者对其生产经营的食品安全负责，对社会和公众负责，承担社会责任。第四条食品安全监督管理部门应当依照食品安全法和本条例的规定公布食品安全信息，为公众咨询、投诉、举报提供方便;任何组织和个人有权向有关部门了解食品安全信息。第二章食品安全风险监测和评估第五条食品安全法第十一条规定的国家食品安全风险监测计划，由国务院卫生行政部门会同国务院质量监督、工商行政管理和国家食品药品监督管理以及国务院商务、工业和信息化等部门，根据食品安全风险评估、食品安全标准制定与修订、食品安全监督管理等工作的需要制定。第六条省、自治区、直辖市人民政府卫生行政部门应当组织同级质量监督、工商行政管理、食品药品监督管理、商务、工业和信息化等部门，依照食品安全法第十一条的规定，制定本行政区域的食品安全风险监测方案，报国务院卫生行政部门备案。

　　国务院卫生行政部门应当将备案情况向国务院质量监督、工商行政管理和国家食品药品监督管理以及国务院商务、工业和信息化等部门通报。

　　第七条国务院卫生行政部门会同有关部门除依照食品安全法第十二条的规定对国家食品安全风险监测计划作出调整外，必要时，还应当依据医疗机构报告的有关疾病信息调整国家食品安全风险监测计划。

　　国家食品安全风险监测计划作出调整后，省、自治区、直辖市人民政府卫生行政部门应当结合本行政区域的具体情况，对本行政区域的食品安全风险监测方案作出相应调整。

　　第八条医疗机构发现其接收的病人属于食源性疾病病人、食物中毒病人，或者疑似食源性疾病病人、疑似食物中毒病人的，应当及时向所在地县级人民政府卫生行政部门报告有关疾病信息。

　　接到报告的卫生行政部门应当汇总、分析有关疾病信息，及时向本级人民政府报告，同时报告上级卫生行政部门;必要时，可以直接向国务院卫生行政部门报告，同时报告本级人民政府和上级卫生行政部门。

　　第九条食品安全风险监测工作由省级以上人民政府卫生行政部门会同同级质量监督、工商行政管理、食品药品监督管理等部门确定的技术机构承担。

　　承担食品安全风险监测工作的技术机构应当根据食品安全风险监测计划和监测方案开展监测工作，保证监测数据真实、准确，并按照食品安全风险监测计划和监测方案的要求，将监测数据和分析结果报送省级以上人民政府卫生行政部门和下达监测任务的部门。

　　食品安全风险监测工作人员采集样品、收集相关数据，可以进入相关食用农产品种植养殖、食品生产、食品流通或者餐饮服务场所。采集样品，应当按照市场价格支付费用。

　　第十条食品安全风险监测分析结果表明可能存在食品安全隐患的，省、自治区、直辖市人民政府卫生行政部门应当及时将相关信息通报本行政区域设区的市级和县级人民政府及其卫生行政部门。

　　第十一条国务院卫生行政部门应当收集、汇总食品安全风险监测数据和分析结果，并向国务院质量监督、工商行政管理和国家食品药品监督管理以及国务院商务、工业和信息化等部门通报。

　　第十二条有下列情形之一的，国务院卫生行政部门应当组织食品安全风险评估工作：

　　(一)为制定或者修订食品安全国家标准提供科学依据需要进行风险评估的;(二)为确定监督管理的重点领域、重点品种需要进行风险评估的;(三)发现新的可能危害食品安全的因素的;(四)需要判断某一因素是否构成食品安全隐患的;(五)国务院卫生行政部门认为需要进行风险评估的其他情形。第十三条国务院农业行政、质量监督、工商行政管理和国家食品药品监督管理等有关部门依照食品安全法第十五条规定向国务院卫生行政部门提出食品安全风险评估建议，应当提供下列信息和资料：(一)风险的来源和性质;(二)相关检验数据和结论;(三)风险涉及范围;(四)其他有关信息和资料。县级以上地方农业行政、质量监督、工商行政管理、食品药品监督管理等有关部门应当协助收集前款规定的食品安全风险评估信息和资料。第十四条省级以上人民政府卫生行政、农业行政部门应当及时相互通报食品安全风险监测和食用农产品质量安全风险监测的相关信息。国务院卫生行政、农业行政部门应当及时相互通报食品安全风险评估结果和食用农产品质量安全风险评估结果等相关信息。第三章食品安全标准第十五条国务院卫生行政部门会同国务院农业行政、质量监督、工商行政管理和国家食品药品监督管理以及国务院商务、工业和信息化等部门制定食品安全国家标准规划及其实施计划。制定食品安全国家标准规划及其实施计划，应当公开征求意见。第十六条国务院卫生行政部门应当选择具备相应技术能力的单位起草食品安全国家标准草案。提倡由研究机构、教育机构、学术团体、行业协会等单位，共同起草食品安全国家标准草案。国务院卫生行政部门应当将食品安全国家标准草案向社会公布，公开征求意

　　见。第十七条食品安全法第二十三条规定的食品安全国家标准审评委员会由国

　　务院卫生行政部门负责组织。食品安全国家标准审评委员会负责审查食品安全国家标准草案的科学性和

　　实用性等内容。第十八条省、自治区、直辖市人民政府卫生行政部门应当将企业依照食品

　　安全法第二十五条规定报送备案的企业标准，向同级农业行政、质量监督、工商行政管理、食品药品监督管理、商务、工业和信息化等部门通报。

　　

篇六：2022国家安全风险评估工作

　　5图3涉密信息系统安全保密管理的全过程安全计划实施日常检查防护措施实施系统运行与维护保密管理符合性监督维持程序变更管理事故处理安全目标安全策略确定安全目标制定安全战略制定安全策略涉密资产方案设计防护措施的选择保密性完整性可用性可核查性真实性可靠性安全产品的选择风险接受度安全防护计划安全意识安全培训风险分析脆弱性威胁风险基线方法非正式方法详细方法结合方法方案评审资质管理技术要求设计指南工程监理系统测评审批管理产品检测定期评估6第一步要确立安全目标与策略

　　涉密信息系统安全风险评估的探讨

　　国家保密技术研究所杜虹

　　引言

　　2003年9月7日中共中央办公厅、国务院办公厅以中办发[2003]27号文件转发了《国家信息化领导小组关于加强国家信息安全保障工作的意见》。其中强调了要重视信息安全风险评估工作。2004年1月9日国家召开了全国信息安全保障工作会议，黄菊同志在讲话中指出：要开展信息安全风险评估和检查。根据风险评估的结果，进行相应等级的安全建设和管理，特别是对涉及国家机密的信息系统，要按照党和国家有关保密规定进行保护。国家高度重视信息安全风险评估工作，并进一步明确了信息安全风险评估在国家信息安全保障工作中的地位和作用。本文将对信息安全风险评估的基本概念和涉及国家秘密的信息系统（以下简称“涉密信息系统”主要风险评估的作用、形式、步骤、方法等进行讨论。

　　一、信息系统安全风险评估的基本概念

　　信息系统的安全是一个动态的复杂过程，它贯穿于信息系统的整个生命周期。信息系统安全的威胁来自内部破坏、外部攻击、内外勾结进行的破坏以及信息系统本身所产生的意外事故，必须按照风险管理的思想，对可能的威胁和需要保护的信息资源进行风险分析，选择适当的安全措施，妥善应对可能发生的安全风险。因此，对信息系统特别是重要的信息系统进行不断的安全风险评估是十分必要的。1．信息系统安全风险评估的定义

　　所谓信息系统安全风险评估是指依据国家有关技术标准，对信息系统的完整性、保密性、可靠性等安全保障性能进行科学、公正的综合评估活动。风险评估是识别系统安全风险并决定风险出现的概率、结果的影响，补充的安全措施缓和这一影响的过程，它是风险管理的一部分。

　　风险评估是对信息及信息处理设施的威胁、影响、脆弱性及三者发生的可能性的评估。它是确认安全风险及其大小的过程，即利用适当的风险评估工具，包括定性和定量的方法，确定信息资产的风险等级和优先风险控制顺序。

　　1

　　2．信息安全风险评估的基本要素信息安全风险评估要关注如下基本要素：

　　使命：一个组织机构通过信息化形成的能力要来进行的工作任务。依赖度：一个组织机构的使命对信息系统和信息的依靠程度。资产：通过信息化建设积累起来的信息系统、信息以及业务流程改造实现的应用服务的成果、人员能力和赢得的信誉。价值：资产的重要程度。威胁：对一个组织机构信息资产安全的侵害。脆弱性：信息资产及其防护措施在安全方面的不足和弱点。脆弱性也常常被称为弱点或漏洞。风险：某种威胁利用暴露的系统对组织机构的资产造成损失的潜在可能性。风险由意外事件发生的概率及发生后可能产生的影响两种指标来衡量。残余风险：采取了安全保障措施，提高了防护能力后，仍然可能存在的风险。安全需求：为保证组织机构的使命正常行使，在信息安全保障措施方面提出的要求。安全保障措施：对付威胁，减少脆弱性，保护资产而采取的预防和限制意外事件的影响，检测、响应意外事件，促进灾难恢复和打击信息犯罪而实施的各种实践、规程和机制的总称。

　　这些要素的相互关系如下（图1）所示：使命是资产来支付的。资产都有价值，信息化的程度越高，组织机构的任务越重要，对资产的依赖度越高，资产的价值就越大。资产的价值越大风险越大。风险是威胁发起的，威胁越大风险越大。威胁都要利用脆弱性，脆弱性越大风险越大。脆弱性使资产暴露，威胁利用脆弱性，危害资产，形成风险。我们对风险的意识，会引出防护需求。防护需求被防护措施所满足。防护措施抗击威胁，降低风险。

　　2

　　图1风险评估各种要素的相互关系通过防护措施对资产加以保护，对脆弱性加以弥补，从而降低了风险；此时威胁只能形成残余风险。可能有多个防护措施共同起作用，也可能有多个脆弱性被同时利用。有些脆弱性可能客观存在，但是可能没有对应的威胁。这可能是由于这个威胁不在机构考虑的范围内，或者这个威胁的影响极小被忽略不计外部威胁和系统脆弱性可能造成损失的潜在危险。采取了防护措施能够减低风险，使残余风险限制在能够承受的程度上。（如图2所示）

　　图2威胁、资产、脆弱性、风险、保护措施、残余风险的关系

　　3

　　3．信息系统安全风险评估的形式信息系统安全风险评估从信息系统拥有者的角度来看可划分为三种形式，即

　　自我评估、委托评估和检查评估。（1）自我评估

　　自我评估是指信息系统拥有者指定的本机构信息系统安全管理人员在信息系统运行维护中使用相应的安全风险评估工具按照一定的规范进行的评估活动。从信息系统拥有者的角度来看是完全主动的行为，其优点是可方便地进行经常性的评估，及时采取对策降低安全风险，是一种“自查自纠”的方式。这种方式因为是在一个机构内部进行，因此一般不会引入评估带来的新的风险，缺点是专业性和客观性稍较差。（2）委托评估

　　委托评估是信息系统拥有者选择委托具有相应资质的评估单位按照一定的规范对信息系统进行的独立的评估活动。从信息系统拥有者的角度来看是完全自愿的，并具有一定的选择性。其优点是专业性、公证性和客观性较强。需注意的是对于评估可能引入新的风险，要加强控制。（3）检查评估

　　检查评估是信息系统拥有者的上级机关或国家赋予信息安全管理职能的机关授权的评估单位根据一定的管理权限和程序，按照一定的规范对信息系统进行的独立的评估活动。此种评估带有检查的性质，从信息系统拥有者的角度来看具有某种被动性。其优点是专业性、公证性、客观性较强，一般也不会引入评估带来的新的风险。

　　当然从不同的角度来看，对信息系统安全风险评估可以有不同的划分形式。

　　二、涉密信息系统的安全风险评估

　　1．安全风险评估在涉密信息系统安全保障中的作用信息系统安全风险评估在信息系统安全保障中具有重要的作用。同样，涉密

　　信息系统风险评估在涉密信息系统安全保障中具有重要的作用。涉密信息系统安全保密管理的全过程如下（图3）所示：

　　4

　　涉密资产

　　安全目标、安全策略确定安全目标制定安全战略制定安全策略

　　风险分析

　　脆弱性

　　威胁

　　风险

　　基线方法非正式方法详细方法结合方法

　　资质管理技术要求设计指南产品检测方案评审

　　工程监理系统测评审批管理

　　方案设计

　　防护措施的选择

　　保密性

　　完整性

　　可用性

　　可核查性真实性

　　可靠性

　　安全产品的选择风险接受度安全防护计划

　　安全计划实施

　　防护措施实施

　　安安全全意培识训

　　日常检查定期评估

　　系统运行与维护

　　保密符合性管理变更管理

　　维持程序

　　监督事故处理

　　图3涉密信息系统安全保密管理的全过程

　　5

　　第一步要确立安全目标与策略；第二步在风险分析中要进行风险评估；第三步在方案设计中对风险接受度要进行评估；第四步在安全计划实施中要进行系统测评；第五步在系统运行与维护中要进行日常检查和定期评估，然后从第五步可循环到第一至四步。可以看出，安全风险评估贯穿于涉密信息系统安全保密管理的全过程，具有极为重要的作用。2．涉密信息系统安全风险评估的形式

　　涉密信息系统安全风险评估主要有两种形式，即自我评估和检查评估。一般意义上的委托评估从保密管理的要求来看不适用于涉密信息系统。

　　自我评估是涉密信息系统拥有者主要进行的日常的评估，是保障涉密信息系统日常安全的重要手段。因此在国家保密局指导和相关保密标准的指引下，各部门各单位对所拥有的涉密信息系统进行自我评估应成为安全风险评估的主要方式。

　　检查评估是国家保密局授权的，经中央批准成立的专门评估机构——国家保密局涉密信息系统安全保密测评中心实施的。可以在已建涉密信息系统安全改进方案设计之前进行，作为方案设计的依据；可以在已建涉密信息系统审批运行之前进行，作为保密局审批的依据；也可以在已建涉密信息系统开通运行一段时间之后进行，做为控制新的安全风险的依据。

　　6

　　3．涉密信息系统安全保密测评的工作流程涉密信息系统安全保密测评的工作流程如下（图4）所示。涉密系统使用单位来函并报资料

　　测评中心进行资料审查涉密系统使用单位修改资料

　　是否通过

　　否

　　是

　　测评中心进行现场考察

　　测评中心制定《测评方案》

　　测评中心现场检测

　　测评中心进行检测结果分析、提出检测意见

　　测评中心召开专家评估会，给出专家评估意见

　　测评中心综合检测意见和专家评估意见，写出测评报告，给出测评结论，出具测评证书

　　测评中心将测评结论和测评证书（复印件）报国家保密局备案

　　图4涉密信息系统安全保密测评的工作流程

　　7

　　4．涉密信息系统安全保密测评的实施（1）测评的依据和方法

　　测评的依据是中华人民共和国保密指南，BMZ3《涉及国家秘密的计算机信息系统安全保密测评指南》；测评的方法是按照BMZ3测评指南所规定的方法，采用规范的工具，按照涉密信息系统处理信息密级的不同，分为秘密级、机密级、绝密级三个等级，按相应等级安全保密防护要求进行测评。（2）测评的内容

　　测评的内容包括安全保密系统的四个方面，如下（图5）所示：

　　安全保密系统

　　物理安全环境安全设备安全介质安全

　　网络运行安全

　　信息安全保密

　　安全保密管理

　　备份与恢复

　　身份鉴别

　　管理机构

　　计算机病毒防治

　　访问控制

　　管理制度

　　电磁兼容操作系统安全数据库安全

　　入侵监控安全审计

　　信息加密

　　管理技术

　　电磁泄漏发射防护

　　信息完整性校验

　　人员管理

　　网络安全保密性能检测

　　抗抵赖

　　图5测评安全保密系统的四个方面

　　（3）测评结果的判据〈1〉检测项目结果判据

　　测评项目分为基本要求项和一般要求项，基本要求项关系到涉密信息系统的高安全风险，一般要求项关系到较低的安全风险。它们中的每一大项分为若干小项，每一小项的测评结果分为“合格”、“基本合格”和“不合格”三种情况。大

　　8

　　项的结果判据如下：a.如果一个大项中所有小项均为“合格”，则该大项为“合格”；b.如果一个大项中“不合格”的小项超过40%，则该大项“不合格”；c.除上述a,b以外的其它情况，为“基本合格”。〈2〉检测结论判据a.基本要求项中有一个大项“不合格”，检测结论即为“不合格”；b.基本要求项中60%（含60%）“合格”，其它基本要求项为“基本合格”，且一般要求项中60%以上（含60%）“合格”，检测结论即为“合格”；c.除上述a,b以外的其它情况，检测结论即为“基本合格”。〈3〉检测意见、专家评估意见与测评结论的关系a.检测意见认为“不合格”，待整改复测后，再召开专家评估会进行评估；b.检测意见认为“合格”，专家评估意见认为“基本合格”，则测评结论为“基本合格”；c.检测意见认为“基本合格”，专家评估意见认为“不合格”，待整改复测后，再给出测评结论。

　　结语

　　重视信息系统安全风险评估是信息化比较发达的国家的基本经验。我国当前高度重视信息系统安全风险评估的工作。涉密信息系统的安全风险评估已经进行了一些有益的实践，奠定了良好的工作基础。但是，还存在着一些问题需要加以解决。如建立完善的工作机制、提高评估能力和技术水平等。只要我们认识明确、措施得力，实实在在地推进涉密信息系统安全风险评估这项工作，我国涉密信息系统的安全保障能力将会提高到一个新的水平。

　　9

　　

　　

推荐访问:2022国家安全风险评估工作 国家安全 风险评估 工作