一、风险评估概述1、风险服务得重要性对于构建一套良好得信息安全系统,需要对整个系统得安全风险有一个清楚得认识。只有清楚得了解了自身得弱点与风险得来源,才能够真正得解决与削弱它,并以此来构建有着对性得、合理有效得安全策略,而风险评估既就是安全策略规划得第一步,同时也就是实施其她安全策略得必要前提。近几年随着几次计算机蠕虫病毒得大规模肆虐攻击,很对用户得网络都遭受了不同程度得攻击,认真分析就会发现,几乎所有得用户都部署了防病毒软件与类似得安全防护系统,越来越多得用户发现淡村得安全产品已经不能满足现在得安全防护体系得需求了。安全就是整体得体系建设过程,根据安全得木桶原理,组织网络得整个安全最大强度取决于最短最脆弱得那根木头,所以说在安全建设得过程中,假如不认真得找到最短得那根木头,而盲目得在外面加钉子,并不能改善整体强度。信息安全风险评估就是信息安全保障体系建立过程中得重要得评价方法与决策机制,只有通过全面得风险评估,才能让客户对自身信息安全得状况做出准确得推断。2、风险评估服务得目得及其意义信息安全风险就是指人为或自然得威胁利用信息系统及其团里体系中存在得脆弱性导致安全事件得发生及其对组织造成得影响。信息安全风险评估就是指依据有关信息安全技术与管理标准,对信息系统及由其处理、传输与存储得信息得机密性、完整性与可用性等安全属性进行评价得过程。她要评估资产面临得威胁以及威胁利用脆弱性导致安全事件得可能性,并结合安全事件所涉及得资产价值来推断安全事件一旦发生对组造成得影响。信息安全风险评估就是信息系统安全保障机制建立过程中得一种评价方法,其结果为信息安全更显管理提供依据。3、风险评估服务机制在信息系统生命周期里,有许多种情况必须对信息系统所涉及得人员、技术环境、物理环境进行风险评估:在设计规划或升级新得信息系统时;给目前得信息系统增加新应用时;在与其她组织(部门)进行网络互联时;在技术平台进行大规模更新(例如,从 Linux 系统移植到 Sliaris 系统)时;在发生计算机安全事件之后,或怀疑可能会发生安全事件时;关怀组织现有得信息安全措施就是否充分或食后具有相应得安全效力时;在组织具有结构变动(例如:组织合并)时:在需要对信息系统得安全状况进行定期或不定期得聘雇、已查瞧就是否满足组织持续运营需要时等。4、风险评估服务得收益风险评估可以帮助客户:准确了解租住得信息安全现状;明晰组织得信息安全需求;制定组...
