一、风险评估概述1、风险服务的重要性对于构建一套良好的信息安全系统,需要对整个系统的安全风险有一个清楚的认识。只有清楚的了解了自身的弱点和风险的来源,才能够真正的解决和削弱它,并以此来构建有着对性的、合理有效的安全策略,而风险评估既是安全策略规划的第一步,同时也是实施其他安全策略的必要前提。近几年随着几次计算机蠕虫病毒的大规模肆虐攻击,很对用户的网络都遭受了不同程度的攻击,认真分析就会发现,几乎所有的用户都部署了防病毒软件和类似的安全防护系统,越来越多的用户发现淡村的安全产品已经不能满足现在的安全防护体系的需求了。安全是整体的体系建设过程,根据安全的木桶原理,组织网络的整个安全最大强度取决于最短最脆弱的那根木头,所以说在安全建设的过程中,假如不认真的找到最短的那根木头,而盲目的在外面加钉子,并不能改善整体强度。信息安全风险评估是信息安全保障体系建立过程中的重要的评价方法和决策机制,只有通过全面的风险评估,才能让客户对自身信息安全的状况做出准确的推断。2、风险评估服务的目的及其意义信息安全风险是指人为或自然的威胁利用信息系统及其团里体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。信息安全风险评估是指依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。他要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来推断安全事件一旦发生对组造成的影响。信息安全风险评估是信息系统安全保障机制建立过程中的一种评价方法,其结果为信息安全更显管理提供依据。3、风险评估服务机制在信息系统生命周期里,有许多种情况必须对信息系统所涉及的人员、技术环境、物理环境进行风险评估:在设计规划或升级新的信息系统时;给目前的信息系统增加新应用时;在与其他组织(部门)进行网络互联时;在技术平台进行大规模更新(例如,从 Linux 系统移植到 Sliaris 系统)时;在发生计算机安全事件之后,或怀疑可能会发生安全事件时;关怀组织现有的信息安全措施是否充分或食后具有相应的安全效力时;在组织具有结构变动(例如:组织合并)时:在需要对信息系统的安全状况进行定期或不定期的聘雇、已查看是否满足组织持续运营需要时等。4、风险评估服务的收益风险评估可以帮助客户:准确了解租住的信息安全现状;明晰组织...
