题目：基于主营业务的信息安全等级保护风险评估应用研究

随着信息化进程的不断加快，我国国民经济和社会发展对基础信息网络和重要信息系统的依赖性越来越大，因此信息安全保障越来越受到业内人士的高度关注。信息安全等级保护制度是我国适应信息化发展的需要进行的一项主要的国家信息安全保障工作，它事关国家安全、社会稳定大局。因而，信息安全等级保护工作是当前信息安全工作的客观需要和紧迫需求。然而，信息安全等级保护制度在国内才刚刚起步，缺乏完整的和成熟的可操作性技术，不能满足不同企业安全等级保护的需要。论文基于这方面考虑，提出了基于主营业务的信息安全等级保护风险评估模型，使等级保护从企业业务出发，围绕重点企业信息系统进行安全等级保护。
本文的主要研究工作和创新点如下：
1．提出了通过企业主营业务来识别企业主要信息系统的方法。在任何一个组织中，信息安全的目的都是用来保障组织业务的正常运行，因此，根据组织的业务受到影响后对国家、组织和个人造成危害的程度不同，我们对该组织的的系统设定不同的安全等级。在本文中我们建立的基于主营业务的信息安全风险评估模型，通过将组织的主营业务安全这个潜在的抽象概念映射成资产的安全这个可以定性和定量测量的概念上来，从而科学地把握了组织的信息资产。这样，当一个组织的业务发生变化时，其相应的信息资产等级应该进行相应的调整，这样就体现出信息安全管理不是一个一劳永逸的事情，而是一个动态的过程。
2. 在进行资产识别时，对资产的分类采用了新的分类方法。通过从外向内，将组织资产分为公用信息资产、公用载体资产和专用信息和载体资产三个大类，这种分类方法关注到了组织不同层面的信息资产对组织业务安全的关联程度是有差异这样一个事实情况。
3. 提出基于层次分析法（AHP）的信息系统定级方法和信息资产识别方法。通过层次分析法的严格逻辑性和要素间两两比较的原理，对系统进行了科学的定级。通过定级就能很好的确定组织需要采用哪一级别的信息安全保障措施，同时我们可以利用该方法进一步对系统中的资产进行排序，区分出核心的资产，这样就能够重点突出地进行风险管理。文章自始至终坚持从核心业务分析到核心系统到核心资产的风险评估模式，充分体现了等级保护的思想精髓。