网络安全 - 网络安全风险评估
风险评估是参照风险评估标准和管理规范,对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析,判断安全事件发生的概率以及可能造成的损失,提出风险管理措施的过程。
风险评估是参照风险评估标准和管理规范,对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析,判断安全事件发生的概率以及可能造成的损失,提出风险管理措施的过程。
风险评估是从风险管理角度,运用科学的方法和手段,系统地分析信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的防护对策和整改措施,防范和化解信息安全风险,将风险控制在可接受的水平,最大限度地为保障信息安全提供科学依据。
风险评估从早期简单的漏洞扫描、人工审计、渗透性测试这种类型的纯技术操作,逐渐过渡到目前普遍采用ISO17799、GB/T 20984《信息安全技术 信息安全风险评估方法》等方法,充分体现以资产为出发点、以威胁为触发因素、以技术/管理/运行等方面存在的脆弱性为诱因的信息安全风险评估综合方法及操作模型。
1. 能够及时发现信息安全工作中存在的主要问题和矛盾。
日常检查能及时发现潜在风险,分析确定系统风险大小后,采取适当的措施去减少、转移,有效避免风险或将风险控制在可以容忍的范围内,提高数据的安全性。
2. 能够加强信息安全保障体系建设和管理。
信息安全建设离不开风险评估,只有正确、全面、清晰地了解风险后,才能在如何控制风险这个问题上做出正确合理的判断,从而加强信息安全保障体系的建设和管理。
1. 风险辨识
对系统进行评估之前,首先需要对于每一个业务中的单元、各种相关的活动、以及业务流程里面的重要环节都进行反复的排查与辨识,在整体上对于系统存在的风险情况进行初步估计与判断。
2. 风险分析
对于有风险辨识度的项目或是流程,需进行仔细的分析,判断其风险特征,并使用明确的定义对其进行描述,使其更加精准,特别是对于明确风险的发生条件及程度高低应尽可能使用数字或是档位来进行定义,从而更直观的认知到这些风险的发生可能性以及可能造成的后果。
3. 风险评价
最后一步是进行风险的最终评价,也是进行正式的风险评估环节,对组织方案、运营目标的最终影响程度、风险的可能性与价格以及可能的后果都进行明确的量化评估,从而使得客户可以更为明确地了解到是否应该继续采用该方案,其自身是否足以承担相关风险。