@寒
3年前 提问
1个回答
信息网络安全风险评估的方法是定性评估吗
帅末
3年前
信息网络安全风险评估的方法是定性评估和定量评估相互结合。定性评估是指对事物(指标等)的特性描述和材料分析之后。制定出定性的评估标准,按一定的标准进行评价。定量评估是指依据统计数据,建立数学模型,并用数学模型计算出分析对象的各项指标及其数值来评估分析的一种方法。与定性分析评估相对应的(主要凭分析者的直觉、经验,凭分析)。而将两者结合通过一定标准和评估者的经验就是信息安全风险评估。
一个完善的信息安全风险评估架构应该具备相应的标准体系、技术体系、组织架构、业务体系和法律法规。信息安全风险评估的基本过程主要分为:
风险评估准备过程
资产识别过程
威胁识别过程
脆弱性识别过程
风险分析过程