信息安全风险评估 要素关系

背景

随着政府部门、金融机构、企事业单位、商业组织等对信息系统依赖程度的日益增强，信息安全问题受到普遍关注。运用风险评估去识别安全风险，解决信息安全问题得到了广泛的认识和应用。

信息安全分析评估就是从风险管理角度，运用科学的方法和手段，系统地分析信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施，为防范和化解信息安全风险，将风险控制在可接受的水平，最大限度地保障信息安全提供科学依据。

信息安全风险评估作为信息安全保障工作的基础性工作和重要环节，要贯穿于信息系统的规划、设计、实施、运行维护以及废弃各个阶段，是信息安全等级保护制度建设的重要科学方法之一。

信息安全风险评估定义

依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。

风险评估要素关系

方框部分的内容为风险评估的基本要素，椭圆部分的内容是与这些要素相关的属性。风险评估围绕着资产、威胁、脆弱性和安全措施这些基本要素展开，在对基本要素的评估
过程中，需要充分考虑业务战略、资产价值、安全需求、安全事件、残余风险等与这些基本要素相关的各类属性。

a）业务战略的实现对资产具有依赖性，依赖程度越高，要求其风险越小；
b）资产是有价值的，组织的业务战略对资产的依赖程度越高，资产价值就越大；
c）风险是由威胁引发的，资产面临的威胁越多则风险越大，并可能演变成为安全事件；
d）资产的脆弱性可能暴露资产的价值，资产具有的弱点越多则风险越大；
e）脆弱性是未被满足的安全需求，威胁利用脆弱性危害资产；
f）风险的存在及对风险的认识导出安全需求；
g）安全需求可通过安全措施得以满足，需要结合资产价值考虑实施成本；
h）安全措施可抵御威胁，降低风险；
i）残余风险有些是安全措施不当或无效,需要加强才可控制的风险；而有些则是在综合考虑了安全成本与效益后不去控制的风险；
j）残余风险应受到密切监视，它可能会在将来诱发新的安全事件。

本文来自学习 信息安全风险评估规范 http://www.github5.com/view/1 希望大家对风险评估基本概念有所了解