您的當前位置: 首頁 >> ISO27001 信息安全管理體系
添加時間:2015-03-02 10:28:16
風險評估 (Risk Assessment):有時候也稱為風險分析,是組織使用適當的風險評估工具,對信息和信息處理設施的威脅(Threat)、影響(Impact)和薄弱點(Vulnerability)及其發生的可能性的評估,也就是確認安全風險及其大小的過程。
風險評估是信息安全管理的基礎,它為安全管理的后續工作提供方向和依據,后續工作的優先等級和關注程度都是由信息安全風險決定的,而且安全控制的效果也必須通過對剩余風險的評估來衡量。
風險管理是信息安全管理體系建立的基礎。完整的風險管理包括資產識別、資產估值、風險分析、風險評價、風險處理和剩余風險評估等過程,這些過程需要處理大量的數據,而資產、資產屬性、威脅、薄弱點、事件的影響、發生的可能性、控制措施等風險評估要素隨著評估過程、溝通過程、監視和評審過程、重復的評估過程而不斷變化,需要不斷的重復的進行大量的數據處理。風險評估是一把雙刃劍,組織可以通過風險評估,發現風險,進而控制風險。但是,風險評估結果本身對組織也是一項威脅,如果保管不當,被泄漏出去,則攻擊者將全面了解組織的風險所在,可以發起有的放矢的攻擊。因此,必須妥善保護風險評估的結果。傳統的風險評估一般利用Excel表格來完成,非常容易被利用E-mail,U盤等媒體傳遞,造成風險。
風險管理(Risk Management):以可接受的費用識別、控制、降低或消除可能影響信息系統的安全風險的過程。風險管理通過風險評估來識別風險大小,通過制定信息安全方針,選擇適當的控制目標與控制方式使風險得到避免、轉移或降至一個可被接受的水平。在風險管理方面應考慮控制費用與風險之間的平衡。
在風險評估和風險管理方法被應用的過程中,評估時間、力度以及具體開展的深度應與組織的環境和安全要求相稱。按照風險評估的深度,風險評估方法可分為:
□ 基本的風險評估方法:對組織所面臨的風險全部采用統一、簡單的方法進行評估分析并確定一個安全標準,這種方法僅適用于規模小、流程簡單、信息安全要求不是很高的組織;
□ 詳細的風險評估方法:對信息系統中所有的部分都進行詳細的評估分析;
□ 聯合的風險評估方法:先鑒定出一個信息系統中的高風險、關鍵、敏感部分進行詳細的評估分析,然后對其他的部分采取基本的評估分析。
電話:010-80888836 手機: 18211163602
版權所有:北京中鑫標科技有限公司 ICP備案號:京ICP備2021012723號