背景
随着政府部门、金融机构、企事业单位、商业组织等对信息系统依赖程度的日益增强,信息安全问题受到普遍关注。运用风险评估去识别安全风险,解决信息安全问题得到了广泛的认识和应用。
信息安全分析评估就是从风险管理角度,运用科学的方法和手段,系统地分析信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施,为防范和化解信息安全风险,将风险控制在可接受的水平,最大限度地保障信息安全提供科学依据。
信息安全风险评估作为信息安全保障工作的基础性工作和重要环节,要贯穿于信息系统的规划、设计、实施、运行维护以及废弃各个阶段,是信息安全等级保护制度建设的重要科学方法之一。
风险分析原理
风险分析中要涉及资产、威胁、脆弱性三个基本要素。每个要素有各自的属性,资产的属性是资产价值;威胁的属性可以是威胁主体、影响对象、出现频率、动机等;脆弱性的属性是资产弱点的严重程度。风险分析的主要内容为: a)对资产进行识别,并对资产的价值进行赋值; b)对威胁进行识别,描述威胁的属性,并对威胁出现的频率赋值; c)对脆弱性进行识别,并对具体资产的脆弱性的严重程度赋值; d)根据威胁及威胁利用脆弱性的难易程度判断安全事件发生的可能性; e)根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件的损失; f)根据安全事件发生的可能性以及安全事件出现后的损失,计算安全事件一旦发生对组织的影响,即风险值。
本文来自学习 信息安全风险评估规范 http://www.github5.com/view/1 希望大家对风险评估 有进一步 认识
