@局外人
1年前 提问
1个回答
信息系统风险评估有哪些模式
安全小白成长记
1年前
风险评估的模式可分自评估与他评估:
自评估:自评估是信息系统拥有单位依靠自身力量,对自有的信息系统进行的风险评估活动。信息系统的风险,不仅来自信息系统技术平台的共性,还来自特定的应用服务。由于具体单位的信息系统应用服务各具特色,这些个性化的过程和要求往往是敏感的,而且是没有长期接触该单位所属行业和部门的人难以在短期内熟悉和掌握的。因此,自评估有利于保密,有利于发挥行业和部门内的人员的业务特长,有利于降低风险评估的费用;有利于提高本单位的风险评估能力与信息安全知识。但是,如果没有统一的规范和要求,在缺乏信息系统安全风险评估专业人才的情况下,自评估的结果可能不深入、不规范、不到位。在自评估中,也可能会存在来自本单位或上级单位领导的不利干预,从而出现风险评估结果不够客观或评估结果的置信度较低等问题。某些时候,即使自评估的结果比较客观,但也可能不会被管理层所信任。这种情况下,如果的确有必要实施自评估,或自评估的结果对管理层的决策关系重大,则可以采取专家组论证的方式加以解决。
他评估:他评估可以是检查性评估或委托评估。机构应根据实际情况和信息安全顾问的建议,经过批准,选择合适的风险评估模式。