当前位置: 公司业务 --  信息安全 --  信息安全风险评估
信息安全风险评估

  风险评估是依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。

  风险评估是建立信息安全保障机制中的一种科学方法。对信息系统而言,存在风险并不意味着不安全,只要风险控制在可接受的范围内,就可以达到系统稳定运行的目的。风险评估的结果为保障信息系统的安全建设、稳定运行提供了技术参考。在规划与设计阶段,风险评估的结果是安全需求的来源,为信息系统的安全建设提供依据;在系统运行维护阶段,由于信息系统的动态性,需要定期地进行风险评估,以了解、掌握系统安全状态,是保证系统安全的动态措施。同时,风险评估是信息系统安全等级确定及建设过程中一种不可或缺的技术手段。

  风险评估要素关系

  下图方框部分的内容为风险评估的基本要素,椭圆部分的内容是与这些要素相关的属性。风险评估围绕着资产、威胁、脆弱性和安全措施这些基本要素展开,在对基本要素的评估过程中,需要充分考虑业务战略、资产价值、安全需求、安全事件、残余风险等与这些基本要素相关的各类属性。

  风险分析原理

  风险分析中要涉及资产、威胁、脆弱性三个基本要素。每个要素有各自的属性,资产的属性是资产价值;威胁的属性可以是威胁主体、影响对象、出现频率、动机等;脆弱性的属性是资产弱点的严重程度。

  风险评估实施流程

 政策依据
- 《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》(发改高技【2008】2071号)
- 《国家电子政务工程建设项目管理暂行办法》(发展改革委【2007】第55号令)
- 《2006-2020年国家信息化发展战略》 (中办发【2006】11号)
- 《关于开展信息安全风险评估的若干意见》(国家网络与信息安全协调小组 2005.12.16)
 标准规范
- GB/Z 24364-2009《信息安全风险管理指南》
- GB/T 18336-2008《信息技术安全性评估准则》
- GB/T 20984-2007 《信息安全风险评估规范》
- GB/T 19715-2005 《信息技术安全管理指南》
- GB 17859-1999《计算机信息系统安全保护等级划分准则》
- ……