一、什么是信息安全风险评估
信息安全风险评估是参照风险评估标准和管理规范,对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析,判断安全事件发生的概率以及可能造成的损失,提出风险管理措施的过程。
信息安全风险评估是从风险管理角度,运用科学的方法和手段,系统地分析信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的防护对策和整改措施,防范和化解信息安全风险,将风险控制在可接受的水平,最大限度地保障信息安全提供科学依据。
信息安全风险评估从早期简单的漏洞扫描、人工审计、渗透性测试这种类型的纯技术操作,逐渐过渡到目前普遍采用国际标准的BS7799、ISO17799、国家标准《信息系统安全等级评测准则》等方法,充分体现以资产为出发点、以威胁为触发因素、以技术/管理/运行等方面存在的脆弱性为诱因的信息安全风险评估综合方法及操作模型。
二、步骤
1、风险辨识
对系统进行评估之前,首先需要对于每一个业务中的单元、各种相关的活动、以及业务流程里面的重要环节都进行反复的排查与辨识,排查这些项目都具有哪些风险,从而在整体上对于系统存在的风险情况进行初步估计与判断。
2、风险分析
对于有风险辨识度的项目或是流程,需进行仔细的分析,判断其风险特征,并使用明确的定义对其进行描
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
