信息安全风险评估

8.2.5.2 信息安全风险评估

信息安全风险评估是开展信息安全建设工作的基础。信息安全风险评估主要是从风险管理角度，运用科学的评估方法和手段，系统地分析信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生对信息系统可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施。信息安全风险评估的目的是为了防范和化解信息安全风险，或者将风险控制在可接受的范围之内。

信息安全风险评估的基本内容包括资产评估、威胁评估、弱点评估和风险评估。资产评估是对信息系统相关的有形或无形资产如硬件、软件、文档、数据、服务以及企业形象等进行评估，根据它们分别具有不同的价值属性和存在特点，分析其存在的弱点、面临的威胁、需要进行的保护和安全控制等。威胁评估是对信息资产面临的威胁进行评估，分析威胁的来源、种类、特性和变化规律，生成威胁报告。弱点评估是对信息资产具有的弱点进行评估，包括网络安全脆弱性评估、主机系统安全脆弱性评估、数据库和数据安全脆弱性评估、应用安全脆弱性评估和安全管理脆弱性评估。风险评估是指在资产评估、威胁评估、脆弱性评估、安全影响评估的基础上，综合利用风险分析方法，确定风险的等级。

风险评估常用的方法有概率分布、外推法、定性评估、矩阵图分析、风险发展趋势评价方法、项目假设前提评价及数据准确度评估等。风险评估不应仅停留在“定性”的评估分析，更需要对安全风险有一个“定量”的评估结果，风险量化的计算需要量化威胁、弱点与影响等组成要素。依据现有的风险管理计划、风险及风险条件排序表、历史资料、专家判断及其他统计资料，利用面谈、灵敏度分析、决策分析和模拟的方法和技术，得出量化序列表、事件确认研究以及所产生的资产损失等量化结果。许多方法都要用到表格并结合主观的经验性衡量，企业需要选择适合的方法，要有较高的可信度，并能产生可重复的结果。