@Haggard
2年前 提问
1个回答
信息安全进行风险评估的意义是什么?
上官雨宝
2年前
信息安全评估的意义:
风险评估是分析确定风险的过程
任何系统的安全性都可以通过风险的大小来衡量。科学分析系统的安全风险,综合平衡风险和代价的过程就是风险评估。
信息安全风险评估是信息安全建设的起点和基础
信息安全风险评估是风险评估理论和方法在信息系统中的运用,是科学分析理解信息和信息系统在机密性、完整性、可用性等方面所面临的风险,并在风险的预防、风险的控制、风险的转移、风险的补偿、风险的分散等之间作出决策的过程。
所有信息安全建设都应该是基于信息安全风险评估,只有在正确地、全面地理解风险后,才能在控制风险、减少风险、转移风险之间作出正确的判断,决定调动多少资源、以什么的代价、采取什么样的应对措施去化解、控制风险。
信息安全风险评估是需求主导和突出重点原则的具体体现
如果说信息安全建设必须从实际出发,坚持需求主导、突出重点,则风险评估(需求分析)就是这一原则在实际工作中的重要体现。从理论上讲风险总是客观存在的。安全是安全风险与安全建设管理代价的综合平衡。
不计成本、片面地追求绝对安全、试图消灭风险或完全避免风险是不现实的,也不是需求主导原则所要求的。坚持从实际出发,坚持需求主导、突出重点,就必须科学地评估风险,有效控制风险。