风险评估的依据标准 .pdfVIP

风险评估的依据标准

在信息安全产业界，风险评估早已不是陌生话题，几年以来，各安全公司完成的风

险评估项目已不在少数，甚至在几乎所有的信息安全服务厂商中，风险评估都是其核心业

务。

风险评估的核心不仅仅是理论，更是实践。风险评估的实践工作是很困难的，据国

外的统计数字显示，只有60%的风险评估是成功的。国内的风险评估工作面临的挑战更

多，需要一定时间的积累和沉淀，就像要成为一个好的中医，要有个学和练的过程一样。

有人认为风险评估只是一个看病的过程，其实，看病就是在治病。因此，笔者就看

病治病的风险评估过程的几个方面简单谈谈自己的心得与体会。

1.--

定义什么是完整意义的风险评估

何为完整意义的风险评估须从各个角度去观察，既要客观，又要全面。古语云：横

看成岭侧成峰，远近高低各不同。不识庐山真面目，只缘身在此山中故所谓信息系统的

安全风险，是指由于系统存在的脆弱性，人为或自然的威胁导致安全事件发生的可能性及

其造成的影响。在风险评估中，最终要根据对安全事件发生的可能性和负面影响的评估来

识别信息系统的安全风险。与信息系统的安全风险密切相关的因素包括：

(1)

使命：即一个单位通过信息技术手段实现的工作任务。一个单位的使命对信息系

统和信息的依赖程度越高，风险评估的任务就越重要。

⑵资产：通过信息化建设积累起来的信息系统、信息、生产或服务能力、人员能力

和赢得的信誉等。

(3)资产价值：资产的敏感程度、重要程度和关键程度。

(4)

(5)

(6)

(7)

(8)

(9)

(10)

1

2

1

2

3

4

5

6

7

8

9

｛

｛

3

(1)

(2)

(3)

(4)(

)

(5)

(6)

(7)

1

2

1）

2）

3）

4）

5）

3

1）

2）

3）

4）