当今社会,网络和重要信息系统的基础性、全局性作用日益增强,国民经济和社会对基础信息网络和重要信息系统的依赖性越来越大,事关国家经济和人民生活的金融、电力、电信等国家基础设施系统,其运行都依赖于信息网络系统。这些系统一旦发生问题,轻则导致经济损失和社会生活不便,重则会使整个国家的政治、经济或军事面临着新的挑战。目前国内信息系统的安全现状正处于单个安全威胁向混合安全威胁变化的趋势中,存在的主要问题是在如此复杂的信息网络环境中首先就需要了解有哪些风险,评估存在的风险,预测其发生的可能性以及对信息系统建设单位的影响程度,然后尽可能量化风险,根据优先顺序,采取适当的预防措施。基于此背景和现状,本文主要论述了信息安全风险评估在信息系统使用过程中的重要性和必要性,对网络、操作系统、应用程序等的安全性、脆弱性和威胁进行测定的方法和依据。系统地分析网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性地抵御威胁的防护对策和整改措施。信息安全风险评估方案设计和应用过程均依据了国家及国际先进的信息安全技术和管理标准、原则,体现了风险评估的先进性。本文形成了信息安全风险评估具体的方案设计,并以此方案为模板应用于山东高速公路集团信息系统的风险评估实施,今后也可为各类信息系统的建设单位所使用。综上所述,信息安全风险评估方案设计与应用能够帮助信息系统的管理者建立信息安全管理框架,了解目前存在的安全风险和威胁,防范和化解信息安全风险,将风险控制在可接受的水平,进而建立安全策略、IT安全体系,最大限度地保障网络和信息系统的安全。此外,在国家大力推行信息系统安全等级保护的同时,本文的设计与应用将等级保护与风险评估科学的结合在一起,为企事业单位更好的理解等级保护的含义、准确地为信息系统确定等级提供依据,从而指导用户单位运用技术和管理的手段对信息系统的风险进行有效评估,以确保信息系统合乎相应的安全等级的标准,达不到相应安全等级的信息系统可采纳风险评估报告进行整改。我认为本文有两点还需进一步改进和完善。一是对系统业务流程的梳理,在安全域划分后,业务系统分离成多个子系统,没有把子系统按照业务流程联系重新组合,在进行信息安全风险评估时出现多次重复性工作;二是运用IT项目管理的方法即采用IT服务管理、控制与流程将风险评估工作流程化、规范化、标准化,更有效的控制风险评估达到预期目标。项目管理流程应该进一步细化,经过这次应用,对信息安全风险评估实施过程中的工作量、分工有了更深刻的认识,在今后的工作中部分环节可以精简,以实现更合理的项目进度和实施管理。