关于信息安全风险评估,你需要知道的

什么是信息安全风险评估?

      信息安全风险评估是参照风险评估标准和管理规范,对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析,判断安全事件发生的概率以及可能造成的损失,提出风险管理措施的过程。当风险评估应用于IT领域时,就是对信息安全的风险评估。

      系统存在着脆弱性,就是我们常说的技术上的漏洞,可以被利用的漏洞,我们有时候讲脆弱性。再加上人为或自然的威胁,导致一些信息安全事件的发生的可能性及其造成的影响,特别是负面影响。也就是说脆弱性和威胁是原因,可能性和影响是结果,当然还有一些其他的要素。信息安全风险评估是指对信息系统及其处理的传输和存储的信息的保密性、完整性和可用性等安全属性进行科学识别和评价的过程。

      风险评估从早期简单的漏洞扫描、人工审计、渗透性测试这种类型的纯技术操作,逐渐过渡到目前普遍采用国际标准的BS7799、ISO17799、国家标准《信息系统安全等级评测准则》等方法,充分体现以资产为出发点、以威胁为触发因素、以技术/管理/运行等方面存在的脆弱性为诱因的信息安全风险评估综合方法及操作模型。

图片


风险评估的每一个步骤都非常重要

01
风险辨识


图片

02
风险分析


图片

03
风险评价


图片

图片


信息安全进行风险评估的意义是什么?

      在这个互联网时代,信息安全是每一家企业都应该重视的事情。要知道信息一旦被黑客攻下,那么带来的损失是无法衡量的。因此日常做好信息安全风险评估的工作是非常有必要的。下面我们来介绍一下它的意义有哪些吧。

01
能够及时发现信息安全中存在的主要问题和矛盾


图片
02
能够加强信息安全保障体系建设和管理


图片