信息安全风险评估浅谈(5页).pdf
已下载:0 次 是否免费: 否 上传时间:2010-08-28
摘 要 :本文介绍了信息系统安全风险评估的要素、分析原理、实施流程,指出开展信息安全风险评估工作是提高信息安全保障水平的一项重要举措。
关键词:风险评估、资产、威胁、脆弱性
随着我国国民经济和社会信息化进程的加快,网络与信息系统的基础性、全局性作用日益增强,经济社会发展对网络和信息系统的依赖性也越来越大。
但由于网络与信息系统自身存在的缺陷、脆弱性以及面临的威胁,使信息系统的运行客观上存在着潜在风险。 《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27 号)明确提出“要重视信息安全风险评估工作,对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估,综合考虑网络与信息系统的重要性、涉密程度和面临的信息安全风险等因素,进行相应等级的安全建设和管理” ,将开展信息安全风险评估工作作为提高我国信息安全保障水平的一项重要举措。
信息安全风险和事件不可能完全避免,关键在于如何控制、化解和规避。不计成本地追求零风险或试图完全消灭风险、避免风险也是不可行的。信息安全风险评估就是从风险管理的角度,运用科学的方法和手段,全面检测网络和信息系统存在的脆弱性,系统分析和评估安全防护水平,从而有针对性地提出抵御威胁的防护对策和整改措施,将风险控制在可接受的水平,最大限度地达到保障网络和信息安全的目的。通过开展信息安全风险评估工作,可以发现信息安全存在的主要问题和矛盾,找到解决问题的办法,寻求一个最佳的平衡点,去化解风险,及早防范。
信息系统安全风险评估,是指依据有关信息安全技术标准,对信息系统及由其处理、传输和
关键词:风险评估、资产、威胁、脆弱性
随着我国国民经济和社会信息化进程的加快,网络与信息系统的基础性、全局性作用日益增强,经济社会发展对网络和信息系统的依赖性也越来越大。
但由于网络与信息系统自身存在的缺陷、脆弱性以及面临的威胁,使信息系统的运行客观上存在着潜在风险。 《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27 号)明确提出“要重视信息安全风险评估工作,对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估,综合考虑网络与信息系统的重要性、涉密程度和面临的信息安全风险等因素,进行相应等级的安全建设和管理” ,将开展信息安全风险评估工作作为提高我国信息安全保障水平的一项重要举措。
信息安全风险和事件不可能完全避免,关键在于如何控制、化解和规避。不计成本地追求零风险或试图完全消灭风险、避免风险也是不可行的。信息安全风险评估就是从风险管理的角度,运用科学的方法和手段,全面检测网络和信息系统存在的脆弱性,系统分析和评估安全防护水平,从而有针对性地提出抵御威胁的防护对策和整改措施,将风险控制在可接受的水平,最大限度地达到保障网络和信息安全的目的。通过开展信息安全风险评估工作,可以发现信息安全存在的主要问题和矛盾,找到解决问题的办法,寻求一个最佳的平衡点,去化解风险,及早防范。
信息系统安全风险评估,是指依据有关信息安全技术标准,对信息系统及由其处理、传输和
立即下载
立即收藏