@Sophia
2年前 提问
1个回答

信息安全风险评估有哪些方式

帅末
2年前

信息安全风险评估是参照风险评估标准和管理规范,对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析,判断安全事件发生的概率以及可能造成的损失,提出风险管理措施的过程。信息安全风险评估有以下三种方式:

  • 基线评估方式:安全基线是诸多标准规范中规定的一组安全控制措施或者惯例,这些措施和惯例适用于特定环境下的所有系统,可以满足基本的安全需求,使系统能达到一定的安全防护水平。可选的安全基线包括国际标准和国家标准,例如 ISO 27001、信息安全等级保护;

  • 详细评估方式:对资产进行详细识别和评价,对可能引起风险的威胁和脆弱性水平进行评估,根据风险评估的结果来识别和选择安全措施,即识别资产的风险并将风险降到可接受的水平,以此证明管理者所采用的安全措施是恰当的。

  • 组合评估方式:采用基于基线评估与详细评估两者之间的评估方式。该方法是组织应先对所有系统进行一次初步的高级风险评估。着眼于信息系统的商务价值和可能面临的风险,识别出组织内具有高风险或对其商务运作极为关键的信息资产 (或系统),这些资产或系统应划分在详细风险评估的范围,而其他系统则可以通过基线风险评估直接选择安全措施。