8.2.5.2 信息安全風(fēng)險評估

信息安全風(fēng)險評估是開展信息安全建設(shè)工作的基礎(chǔ)。信息安全風(fēng)險評估主要是從風(fēng)險管理角度，運用科學(xué)的評估方法和手段，系統(tǒng)地分析信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評估安全事件一旦發(fā)生對信息系統(tǒng)可能造成的危害程度，提出有針對性的抵御威脅的防護對策和整改措施。信息安全風(fēng)險評估的目的是為了防范和化解信息安全風(fēng)險，或者將風(fēng)險控制在可接受的范圍之內(nèi)。

信息安全風(fēng)險評估的基本內(nèi)容包括資產(chǎn)評估、威脅評估、弱點評估和風(fēng)險評估。資產(chǎn)評估是對信息系統(tǒng)相關(guān)的有形或無形資產(chǎn)如硬件、軟件、文檔、數(shù)據(jù)、服務(wù)以及企業(yè)形象等進行評估，根據(jù)它們分別具有不同的價值屬性和存在特點，分析其存在的弱點、面臨的威脅、需要進行的保護和安全控制等。威脅評估是對信息資產(chǎn)面臨的威脅進行評估，分析威脅的來源、種類、特性和變化規(guī)律，生成威脅報告。弱點評估是對信息資產(chǎn)具有的弱點進行評估，包括網(wǎng)絡(luò)安全脆弱性評估、主機系統(tǒng)安全脆弱性評估、數(shù)據(jù)庫和數(shù)據(jù)安全脆弱性評估、應(yīng)用安全脆弱性評估和安全管理脆弱性評估。風(fēng)險評估是指在資產(chǎn)評估、威脅評估、脆弱性評估、安全影響評估的基礎(chǔ)上，綜合利用風(fēng)險分析方法，確定風(fēng)險的等級。

風(fēng)險評估常用的方法有概率分布、外推法、定性評估、矩陣圖分析、風(fēng)險發(fā)展趨勢評價方法、項目假設(shè)前提評價及數(shù)據(jù)準(zhǔn)確度評估等。風(fēng)險評估不應(yīng)僅停留在“定性”的評估分析，更需要對安全風(fēng)險有一個“定量”的評估結(jié)果，風(fēng)險量化的計算需要量化威脅、弱點與影響等組成要素。依據(jù)現(xiàn)有的風(fēng)險管理計劃、風(fēng)險及風(fēng)險條件排序表、歷史資料、專家判斷及其他統(tǒng)計資料，利用面談、靈敏度分析、決策分析和模擬的方法和技術(shù)，得出量化序列表、事件確認(rèn)研究以及所產(chǎn)生的資產(chǎn)損失等量化結(jié)果。許多方法都要用到表格并結(jié)合主觀的經(jīng)驗性衡量，企業(yè)需要選擇適合的方法，要有較高的可信度，并能產(chǎn)生可重復(fù)的結(jié)果。