计算机安全评估的意义是什么
- 风险评估是信息系统安全的基础性工作
信息安全中的风险评估是传统的风险理论和方法在信息系统中的运用,是科学地分析和理解信息与信息系统在保密性、完整性、可用性等方面所面临的风险,并在风险的减少、转移和规避等风险控制方法之间做出决策的过程。
风险评估将导出信息系统的安全需求,因此,所有信息安全建设都应该以风险评估为起点。信息安全建设的最终目的是服务于信息化,恒其直接目的是为了控制安全风险。
只有在正确、全面地了解和理解安全风险后,才能决定如何处理安全风险,从而在信息安全的投资、信息安全措施的选择、信息安全保障体系的建设等尚题中做出合理的决策。
进一步,持续的风险评估工作可以成为检查信息系统本身乃至信息系统拥有单位的绩效的有力手段,风险评估的结果能够供相关主管单位参考,并使主管单位通过行政手段对信息系统的立项、投资、运行产生影响,促进信息系统拥有单位加强信息安全建设。
- 风险评估是分级防护和突出重点原则的具体体现
信息安全建设的基本原则包括必须从实际出发,坚持分级防护、突出重点。
风险评估正是这一原则在实际工作中的具体体现。
从理论上讲,不存在绝对的安全,实践中也不可能做到绝对安全,风险总是客观存在的。
安全是风险与成本的综合平衡。
盲目追求安全和回避风险是不现实的,也不是分级防护原则所要求的。
要从实际出发,坚持分级防护、突出重点,就必须正确地评估风险,以便采取科学、客观、经济和有效的措施。
- 加强风险评估工作是当前信息安全工作的客观需要和紧迫需求
由于信息技术的飞速发展,关系国计民生的关键信息基础设施的规模越来越大,同时也极大地增加了系统的复染程度。
发达国家越来越重视信息安全风险评估工作,提倡风险评估制度化。他们提出,没有有效的风险评估,便会导致信息安全需求与安全解决方案的严重脱离。因此,美国国家安全局强调“没有任何事情比解决错误的问题和建立错误的系统更没有效率的了。”这些发达国家近年来大力加强了以风险评估为核心的信息系统安全评估工作,并通过法规、标准手段加以保障,逐步以此形成了横跨立法、行政、司法的完整的信息安全管理体系。
在我国目前的国情下,为加强宏观信息安全管理,促进信息安全保障体系建设,就必须加强风险评估工作,并逐步使风险评估工作朝向制度化的方向发展。