壹、定義
信息安全風險評估是參照風險評估標準和管理規範,對信息系統的資產價值、潛在威脅、薄弱環節、已采取的防護措施等進行分析,判斷安全事件發生的概率以及可能造成的損失,提出風險管理措施的過程。當風險評估應用於IT領域時,就是對信息安全的風險評估。
風險評估從早期簡單的漏洞掃描、人工審計、滲透性測試這種類型的純技術操作,逐漸過渡到目前普遍采用國際標準的BS7799、ISO17799、國家標準《信息系統安全等級評測準則》等方法,充分體現以資產為出發點、以威脅為觸發因素、以技術/管理/運行等方面存在的脆弱性為誘因的信息安全風險評估綜合方法及操作模型。
二、風險評估對企業的重要性
企業對信息系統依賴性不斷增強,而且存在無處不在的安全威脅和風險,從組織自身業務的需要和法律法規的要求的角度考慮,更加需要增強對信息風險的管理。風險評估是風險管理的基礎,風險管理要依靠風險評估的結果來確定隨後的風險控制和審核批準活動,使得組織能夠準確“定位”風險管理的策略、實踐和工具。從而將安全活動的重點放在重要的問題上,選擇成本效益合理的、適用的安全對策。
風險評估可以明確信息系統的安全現狀,確定信息系統的主要安全風險,是信息系統安全技術體系與管理體系建設的基礎。
三、風險評估的個步驟:
步驟1:描述系統特征
步驟2:識別威脅(威脅評估)
步驟3:識別脆弱性(脆弱性評估)
步驟4:分析安全控制
步驟5:確定可能性
步驟6:分析影響
步驟7:確定風險
步驟8:對安全控制提出建議
步驟9:記錄評估結果
四、風險評估的作用
任何系統的安全性都可以通過風險的大小來衡量。科學分析系統的安全風險,綜合平衡風險和代價的過程就是風險評估。風險評估不是某個系統(包括信息系統)所特有的。在日常生活和工作中,風險評估也是隨處可見,為了分析確定系統風險及風險大小,進而決定采取什麽措施去減少、避免風險,把殘余風險控制在可以容忍的範圍內。人們經常會提出這樣壹些問題:什麽地方、什麽時間可能出問題?出問題的可能性有多大?這些問題的後果是什麽?應該采取什麽樣的措施加以避免和彌補?並總是試圖找出最合理的答案。這壹過程實際上就是風險評估。
萬方安全從事信息安全事業十多年,有多行業的安全服務成功案例,是壹家提供壹站式專業安全服務的信息安全服務廠商,在信息安全行業資歷深厚。