壹.定義
信息安全風險評估是指參照風險評估標準和管理規範,分析信息系統的資產價值、潛在威脅、薄弱環節和采取的防護措施,判斷安全事件發生的概率和可能造成的損失,並提出風險管理措施的過程。風險評估應用到IT領域,就是信息安全的風險評估。
風險評估從早期的漏洞掃描、人工審計、滲透率測試等簡單的技術操作逐漸轉變為BS7799、ISO17799、國家標準《信息系統安全等級評估準則》等方法,充分體現了以資產為出發點,以威脅為觸發因素,以技術/管理/運營中的漏洞為誘因的信息安全風險評估的綜合方法和操作模式。
二,風險評估對企業的重要性
企業對信息系統的依賴性越來越強,安全威脅和風險無處不在。從機構自身業務的需要和法律法規的要求來看,更需要加強信息風險的管理。風險評估是風險管理的基礎,風險管理依靠風險評估的結果來確定後續的風險控制和審核批準活動,從而使組織能夠準確地“定位”風險管理的策略、實踐和工具。因此,安全活動的重點將放在重要問題上,並選擇合理和適用的安全對策。
風險評估可以明確信息系統的安全狀況,確定信息系統的主要安全風險,是信息系統安全技術體系和管理體系建設的基礎。
風險評估的三個步驟:
步驟1:描述系統特性。
步驟2:識別威脅(威脅評估)
步驟3:識別漏洞(漏洞評估)
步驟4:分析安全控制
第五步:確定可能性
第六步:分析影響
第七步:確定風險
第八步:提出安全控制的建議。
第九步:記錄評估結果。
第四,風險評估的作用
任何系統的安全性都可以通過風險來衡量。科學地分析系統的安全風險,綜合權衡風險和成本的過程就是風險評估。風險評估不是某個系統(包括信息系統)獨有的。在日常生活和工作中,風險評估也隨處可見。以便分析和確定系統風險和風險大小,進而決定采取什麽措施來降低和規避風險,將剩余風險控制在可容忍的範圍內。人們經常會問這樣的問題:什麽時候什麽地方可能會出問題?出問題的可能性有多大?這些問題的後果是什麽?應該采取哪些措施來避免和彌補?並且總是試圖找到最合理的答案。這個過程實際上是壹個風險評估。
萬方安全從事信息安全十余年,在各行業有很多安全服務的成功案例。是壹家提供壹站式專業安全服務的信息安全服務廠商,在信息安全行業有著深厚的經驗。