一、风险评估概述1、风险服务得重要性对于构建一套良好得信息安全系统,需要对整个系统得安全风险有一个清楚得认识
只有清楚得了解了自身得弱点与风险得来源,才能够真正得解决与削弱它,并以此来构建有着对性得、合理有效得安全策略,而风险评估既就是安全策略规划得第一步,同时也就是实施其她安全策略得必要前提
近几年随着几次计算机蠕虫病毒得大规模肆虐攻击,很对用户得网络都遭受了不同程度得攻击,认真分析就会发现,几乎所有得用户都部署了防病毒软件与类似得安全防护系统,越来越多得用户发现淡村得安全产品已经不能满足现在得安全防护体系得需求了
安全就是整体得体系建设过程,根据安全得木桶原理,组织网络得整个安全最大强度取决于最短最脆弱得那根木头,所以说在安全建设得过程中,假如不认真得找到最短得那根木头,而盲目得在外面加钉子,并不能改善整体强度
信息安全风险评估就是信息安全保障体系建立过程中得重要得评价方法与决策机制,只有通过全面得风险评估,才能让客户对自身信息安全得状况做出准确得推断
2、风险评估服务得目得及其意义信息安全风险就是指人为或自然得威胁利用信息系统及其团里体系中存在得脆弱性导致安全事件得发生及其对组织造成得影响
信息安全风险评估就是指依据有关信息安全技术与管理标准,对信息系统及由其处理、传输与存储得信息得机密性、完整性与可用性等安全属性进行评价得过程
她要评估资产面临得威胁以及威胁利用脆弱性导致安全事件得可能性,并结合安全事件所涉及得资产价值来推断安全事件一旦发生对组造成得影响
信息安全风险评估就是信息系统安全保障机制建立过程中得一种评价方法,其结果为信息安全更显管理提供依据
3、风险评估服务机制在信息系统生命周期里,有许多种情况必须对信息系统所涉及得人员、技术环境、物理环境进行风险评估:在设计规划或升级新得信息系统时;给目前得信息系统增加新应用时;在与其她组织(部门)进行网络互联时
