1 时代背景
信息技术发展迅猛,信息产业的发达程度已经成为一个国家的综合国力和国际竞争力强弱的重要标志。
首先,信息系统安全问题所产生的损失、影响不断加剧。传统的信息安全几十年涉:事后、被动、单一,针对出现的问题,采用一些安全防护措施。这种模式往往缺少系统的考虑,就事论事,带有很大盲目性,经常是花费不少、收效甚微,造成资金、人员的巨大浪费。已经远不能适应信息系统安全防护的发展要求。
其次,信息系统安全问题单凭技术是无法得到彻底解决的,它的解决涉及到政策法规、管理、标准、技术等方方面面,任何单一层次上的安全措施都不可能提供真正的全方位的安全,信息系统安全问题的解决更应该站在系统工程的角度来考虑。在这项系统工程中,信息系统安全风险评估占有重要的地位,它是信息系统安全的基础和前提。
2 风险评估的概念
信息系统的风险分析与评估是指确定在计算机系统和网络中每一种资源缺失或遭到破坏对整个系统造成的预计损失数量。即对威胁、脆弱点以及可能的风险对资产或组织所带来的影响程度的评估。
所谓威胁就是对资产或组织造成损害的故事的原因,而脆弱点是指资产或组织中能被威胁所利用的弱点,风险就是特定的威胁利用资产的一种或一组脆弱点,导致资产的丢失或损害的潜在的可能性。
3 风险评估的目的
风险评估的目的就是帮助企业了解系统目前和未来的风险所在,评估这些风险可能带来的安全威胁与影响程度,降低风险带来的损失;也为企业制定安全策略、建设和维护信息系统提供有力的依据。同时通过第三方的权威评估,也会让企业的客户提高对该企业所提供的信息技术产品和系统可靠性的信心,增强企业及其产品的竞争力。
4 风险评估的作用
当组织进行信息系统风险评估后,将能为组织提高IT管理水平,全面信息安全风险,同时良好的安全形象还可以促进业务的发展,带来良好的经济和社会效益。主要体现在以下几个方面:
-
加强组织的整体信息风险预防水平;
-
提高信息系统的风险抵抗能力;
-
为管理层提供信息化建设的科学决策分析依据;
-
为组织进行量化风险危害程度;
-
帮助组织减少信息安全事件发生的机率;
-
降低组织因信息安全经济损失。
网友评论