| 信息安全风险评估介绍 |
| 风险评估介绍 |
随着信息化的发展,政府部门、金融机构、企事业单位、商业组织等对信息系统依赖程度的日益增强,信息安全问题受到普遍关注。采用风险管理的理念去识别安全风险,解决信息安全问题得到了广泛的认识和应用。
信息系统是组织(即拥有者)通过信息化手段来实现的工作任务的,即具有一定的使命。从系统拥有者来看,业务开展对信息系统和信息的依靠程度越高,要求风险越小;同样,系统在建设、运行过程中不断积累起来的系统设备、信息、生产/服务能力、人员能力和赢得的信誉等都是企业的资产,这些资产的价值越高,那么要求将系统的风险降低到最小。
信息安全风险是在考虑安全事件发生的可能性及其可能造成的影响下,脆弱性被威胁利用后所产生的实际负面影响。它是可能性和影响的函数,是动态的。前者指威胁源利用一个潜在脆弱性的可能性,后者指不利事件对组织机构产生的影响。
风险评估是依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。
风险评估是建立信息安全保障机制中的一种科学方法。对信息系统而言,存在风险并不意味着不安全,只要风险控制在可接受的范围内,就可以达到系统稳定运行的目的。风险评估的结果为保障信息系统的安全建设、稳定运行提供了技术参考。在规划与设计阶段,风险评估的结果是安全需求的来源,为信息系统的安全建设提供依据;在系统运行维护阶段,由于信息系统的动态性,需要定期地进行风险评估,以了解、掌握系统安全状态,是保证系统安全的动态措施。同时,风险评估是信息系统安全等级确定及建设过程中一种不可或缺的技术手段。 |
| 参考标准
|
BS 7799-1/ISO 17799 Information technology – Code of practice for information security management
《信息安全风险评估指南》国家标准报批稿
《信息安全风险管理指南》国家标准报批稿
Operationally Critical Threat, Asset, and Vulnerability Evaluation SM (OCTAVESM) Framework, Version 2.0
GB/T 18336:2001信息技术 安全技术 信息技术安全性评估准则
GB 17859计算机信息系统安全保护等级划分准则 |
|
|
2008-7-4 11:21:02
星期五
|
 |
资料下载 |
|
|
|
|
