扎兰屯机场立异完成信息安全危险评价规范化流程

近期，为处理信息安全危险评价作业展开困难，短少一致的规范化流程问题，扎兰屯机场通过“五小”立异行动，探索完成了用于信息安全危险评价的规范化流程。

信息系统安全性问题日益突出，信息安全事件频频发生，正确的危险评价办法能够有用辨认并确认其危险点，给办理者提供整改方向，下降信息安全事件发生的频率，进步其相关业务安全运行才能。危险评价作业之所以难以进行，是因为其具有较高的专业性和抽象性的特色，对于评价人员则需要专业常识储藏和丰富的作业经验。

危险评价软件界面

本立异成果目的便是在于将杂乱的评价流程“简单化”、将款式纷歧的评价办法规范化、将短少规范支撑的危险评价科学化，以《GB/T20984信息安全危险评价办法》为科学支撑，选用定性和定性与依据常识相结合的评价办法，树立了依据财物的定性剖析危险评价办法、应用粗糙集理论，添加财物相关性危险值剖析的粗糙集法危险评价模型，和运用图论和矩阵工具的决议计划实验室危险评价三种评价办法流程。以上三种评价流程能够应用到从办理层面查找危险要素，到信息系统危险要素辨认各个环节，真正含义做到了信息安全危险评价全流程覆盖。

评价流程的树立，仅仅处理了规范化和科学化的问题，并未完成“简单化”这一方针。为此，项目团队依据以上三种评价流程，自主开发了信息安全危险评价软件，将评价过程中的杂乱算法交由软件处理，用户只需要挑选相应的评价流程，按照操作办法说明，填入各个环节数值便可自动生成评价陈述，评价陈述生成为word版本，用户可依据需求再次进行编辑，直至完成后进行签字确认，使评价陈述正式收效。此外，评价软件还树立了数据库，用户能够依据系统改变等状况，将数据库进行导入导出操作，进行比照剖析以更精确的判别评价要素改变对信息系统发生的影响。考虑到评价作业展开的广泛性，为能将立异成果更好的服务到各范畴，此评价软件可继续更新，在有规范化评价流程和计算公式前提下，可将其他业务评价流程加入到软件中，并对评价流程设立运用权限，使各岗位人员独立运用，互不搅扰。

此次立异一改以往信息安全危险评价形式，使评价作业得以应用到信息系统全生命周期，无论对信息安全办理还是信息系统危险剖析都具有重要含义，也是扎兰屯机场积极响应内蒙古机场集团“五小”立异召唤，优化作业流程，立异办理办法的一次有用尝试。本项目团队也将继续以破解作业难题为己任，提高安全运行才能为方针，继续展开立异作业，为“四型机场”建设贡献力量。