全風險評估是對信息和信息處理設施的威脅、影響和脆弱性及三者發生的可能性的評估。風險評估也是確認安全風險及其大小的過程,即利用適當的風險評估工具和方法,確定資產風險等級和優先控制順序。可從以下幾方面進行信息安全評估:
1、風險評估應考慮的因素:
(1)信息資產及其價值;
(2)對這些資產的威脅,以及它們發生的可能性;
(3)脆弱性;
(4)已有的安全控制措施。
2、信息安全評估的步驟:
(1)按照組織業務運作流程進行資產識別,並根據估價原則對資產進行估價;
(2)根據資產所處的環境進行威脅評估;
(3)對應每壹威脅,對資產或組織存在的脆弱性進行評估;
(4)對已采取的安全機制進行識別和確認;
(5)建立風險測量的方法及風險等級評價原則,確定風險的大小與等級。
3、風險評估時應考慮的為題:
在進行風險評估時,要充分考慮和正確區分資產、威脅與脆弱性之間的對應關系,即:
a.壹項資產可能存在多個威脅;
b.威脅的來源可能不只壹個,應從人員(包括內部和外部)、環境(如自然災害)、資產本身(如設備故障)等方面加以考慮;
c.每壹威脅可能利用壹個或數個脆弱性。