8.2.5.2 信息安全風(fēng)險(xiǎn)評(píng)估

信息安全風(fēng)險(xiǎn)評(píng)估是開展信息安全建設(shè)工作的基礎(chǔ)。信息安全風(fēng)險(xiǎn)評(píng)估主要是從風(fēng)險(xiǎn)管理角度，運(yùn)用科學(xué)的評(píng)估方法和手段，系統(tǒng)地分析信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評(píng)估安全事件一旦發(fā)生對(duì)信息系統(tǒng)可能造成的危害程度，提出有針對(duì)性的抵御威脅的防護(hù)對(duì)策和整改措施。信息安全風(fēng)險(xiǎn)評(píng)估的目的是為了防范和化解信息安全風(fēng)險(xiǎn)，或者將風(fēng)險(xiǎn)控制在可接受的范圍之內(nèi)。

信息安全風(fēng)險(xiǎn)評(píng)估的基本內(nèi)容包括資產(chǎn)評(píng)估、威脅評(píng)估、弱點(diǎn)評(píng)估和風(fēng)險(xiǎn)評(píng)估。資產(chǎn)評(píng)估是對(duì)信息系統(tǒng)相關(guān)的有形或無形資產(chǎn)如硬件、軟件、文檔、數(shù)據(jù)、服務(wù)以及企業(yè)形象等進(jìn)行評(píng)估，根據(jù)它們分別具有不同的價(jià)值屬性和存在特點(diǎn)，分析其存在的弱點(diǎn)、面臨的威脅、需要進(jìn)行的保護(hù)和安全控制等。威脅評(píng)估是對(duì)信息資產(chǎn)面臨的威脅進(jìn)行評(píng)估，分析威脅的來源、種類、特性和變化規(guī)律，生成威脅報(bào)告。弱點(diǎn)評(píng)估是對(duì)信息資產(chǎn)具有的弱點(diǎn)進(jìn)行評(píng)估，包括網(wǎng)絡(luò)安全脆弱性評(píng)估、主機(jī)系統(tǒng)安全脆弱性評(píng)估、數(shù)據(jù)庫和數(shù)據(jù)安全脆弱性評(píng)估、應(yīng)用安全脆弱性評(píng)估和安全管理脆弱性評(píng)估。風(fēng)險(xiǎn)評(píng)估是指在資產(chǎn)評(píng)估、威脅評(píng)估、脆弱性評(píng)估、安全影響評(píng)估的基礎(chǔ)上，綜合利用風(fēng)險(xiǎn)分析方法，確定風(fēng)險(xiǎn)的等級(jí)。

風(fēng)險(xiǎn)評(píng)估常用的方法有概率分布、外推法、定性評(píng)估、矩陣圖分析、風(fēng)險(xiǎn)發(fā)展趨勢(shì)評(píng)價(jià)方法、項(xiàng)目假設(shè)前提評(píng)價(jià)及數(shù)據(jù)準(zhǔn)確度評(píng)估等。風(fēng)險(xiǎn)評(píng)估不應(yīng)僅停留在“定性”的評(píng)估分析，更需要對(duì)安全風(fēng)險(xiǎn)有一個(gè)“定量”的評(píng)估結(jié)果，風(fēng)險(xiǎn)量化的計(jì)算需要量化威脅、弱點(diǎn)與影響等組成要素。依據(jù)現(xiàn)有的風(fēng)險(xiǎn)管理計(jì)劃、風(fēng)險(xiǎn)及風(fēng)險(xiǎn)條件排序表、歷史資料、專家判斷及其他統(tǒng)計(jì)資料，利用面談、靈敏度分析、決策分析和模擬的方法和技術(shù)，得出量化序列表、事件確認(rèn)研究以及所產(chǎn)生的資產(chǎn)損失等量化結(jié)果。許多方法都要用到表格并結(jié)合主觀的經(jīng)驗(yàn)性衡量，企業(yè)需要選擇適合的方法，要有較高的可信度，并能產(chǎn)生可重復(fù)的結(jié)果。