信息安全风险评估流程培训讲师:培训讲师:jindalyjindaly培训日期:培训日期:2011
6一、风险评估概述二、风险评估目的三、风险评估范围四、风险评估流程五、风险评估工作要点一、风险评估概述信息安全风险评估的概念在业内有多种说法,从国标《评估指南》对信息安全风险评估的表述中看出,评估涉及资产、威胁、脆弱性和风险四个主要因素
风险管理是辨别信息系统潜在的风险,对其进行评估,并采取措施将其降低到可接受的水平的过程,而风险评估是其中最重要的环节
一、风险评估概述信息安全风险评估是依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程
信息安全风险评估从管理的角度,运用科学的方法和手段,系统分析网络与信息系统所面临的威胁及存在的脆弱性
评估安全事件一旦发生可能造成的危害程度,提出有针对性地抵御安全威胁的防护措施,为防范和化解信息安全风险,或将风险控制在可以接受的水平,最大限度地保障网络正常运行和信息安全提供科学依据
二、风险评估目的信息安全风险评估是加强信息安全保障体系建设和管理的关键环节,通过开展信息安全风险评估工作,可以发现信息系统存在的主要问题和矛盾,找到解决诸多关键问题的办法
信息安全风险评估旨在认清信息安全环境,信息安全状况,有助于达成共识,明确责任,采取和完善安全保障措施,使其更加经济有效,并使信息安全策略保持一致性和持续性
并为信息系统的建设和改造提供依据,帮助信息安全建设者正确判断系统存在风险与漏洞,并采取适当补救措施
风险评估可以科学地分析和理解信息系统在保密性、完整性、可用性等方面的工作,只有正确、全面地了解理解安全风险后才能决定如何处理安全风险,从而在信息安全的投资,信息安全措施的选择,信息安全保障体系的建设做出合理的决策
三、风险评估范围信息安全风险评估适用于