保险专业资源下载网站

目 录

风险评估概述

风险评估的依据及原则

风险评估流程

风险评估的方法

风险评估的输出结果

Q&A

风险评估概述

在信息安全领域，风险（Risk）就是指信息资产遭受损坏并给企业带来负面影响的潜在可能性。

风险

风险评估（Risk Assessment）就是对信息和信息处理设施面临的威胁、受到的影响、存在的弱点以及威胁发生的可能性的评估。

风险评估

风险管理（Risk Management）就是以可接受的代价，识别、控制、减少或消除可能影响信息系统的安全风险的过程。

风险管理

风险评估与管理的目标

采取有效措施，降低威胁事件发生的可能性，或者减小威胁事件造成的影响，从而将风险消减到可接受的水平。

威胁

漏洞

资产

基本的风险

采取措施后剩余的风险

绝对安全是不存在的！

绝对的零风险是不存在的，要想实现零风险，也是不现实的；

计算机系统的安全性越高，其可用性越低，需要付出的成本也就越大，一般 来说，需要在安全性和可用性，以及安全性和成本投入之间做一种平衡。

在计算机安全领域有一句格言：“真正安全的计算机是拔下网线，断掉电源，放置在地下掩体的保险柜中，并在掩体内充满毒气，在掩体外安排士兵守卫。”