{安全生产管理}移动公司安全评估.pdfVIP

引言

信息安全工作目标演进：从安全支撑保障、体现价值逐

步转向推进业务系统创造价值

业务支撑support向enabler转变，2007年3月沙跃家

副总裁07业务支撑工作会议

“狠抓网络安全，确保奥运盛会”，2008年3月李跃副总

裁成都网络工作会议

随着企业对IT技术的依赖性越来越强，信息安全风险在

企业运营中的地位越来越重要因此，信息安全风险管理

成为企业在运营过程中的最基本的工具；

较全面的信息安全风险评估日益重要，一方面风险管理

是运营过程中的必不可少的工具；另一方面风险评估能

够主动了解风险状况，进行相应的改进，实现

supporter向enabler的转变

中国移动技术创新引擎

内部资料注意必威体育官网网址

提纲

什么是风险评估？

为什么要进行风险评估？

风险评估怎样确保安全生产？

中国移动风险自评估将向何处发展？

中国移动技术创新引擎

内部资料注意必威体育官网网址

什么是风险评估？

风险评估（WHAT？）

信息安全风险评估，是从风险管

理角度，运用科学的方法和手段，系

统地分析信息系统所面临的威胁及其

存在的脆弱性，评估安全事件一旦发

生可能造成的危害程度，提出有针对

性的抵御威胁的防护对策和整改措施。

并为防范和化解信息安全风险，或者

中国移动技术创新引擎

内部资料注意必威体育官网网址

风险评估要素关系图

（1）业务战略的实现对资产具有依赖性，

依赖程度越高，要求其风险越小；

（2）资产是有价值的，组织的业务战略对

资产的依赖程度越高，资产价值就越大；

（3）风险是由威胁引发的，资产面临的威

胁越多则风险越大，并可能演变成安全事

件；

（4）资产的脆弱性可以暴露资产的价值，

资产具有的弱点越多则风险越大；

（5）脆弱性是未被满足的安全需求，威胁

利用脆弱性危害资产；

（6）风险的存在及对风险的认识导出安全

需求；

（7）安全需求可通过安全措施得以满足，

需要结合资产价值考虑实施成本；

（8）安全措施可抵御威胁，降低风险；