一、信息安全风险评估的基本概念
1. 风险评估:指在风险事件发生之前或之后(但还没有结束),对该事件给人们的生活、生命和财产等各个方面造成的影响和损失的可能性进行量化评估的工作。即风险评估就是量化测评某一事件或事物带来的影响和损失。
2. 从信息安全的角度来讲,风险评估是对信息资产(即某事件或事物所具有的信息集)所面临对的威胁、存在的弱点、造成的影响,以及三者综合作用所带来风险的可能性评估。
3. 风险评估过程中需要考虑几个问题:
1)要确定保护的对象(或者资产)是什么?它的直接价值和间接价值如何?
2)资产面临哪些潜在威胁?导致威胁的问题是什么?威胁发生的可能性有多大?
3)资产中存在哪些弱点可能会被威胁或利用?利用的容易程度又如何?
4)一旦发生威胁事件,组织会遭受怎样的损失或者面临怎样的负面影响?
5)组织应该采取怎样的安全措施才能将风险带来的损失降到最低程度?
解决以上问题的过程,就是风险评估的过程。
4. 在进行风险评估时,需要考虑几个对应关系:
1)每项资产可能面临多种威胁。
2)威胁源(威胁代理)可能不止一个。
3)每种威胁可能利用一个或多个弱点。
二、信息安全风险评估工作概述
<