信息安全风险评估的意义是什么
信息安全风险评估的意义如下:
信息安全风险评估是分析确定风险的过程:任何系统的安全性都可以通过风险的大小来衡量。科学的分析系统的安全风险,综合平衡风险和代价的过程就是风险评估,采取相应措施减少、转移或者避免风险,把风险控制在可容忍范围内;
信息安全风险评估是信息安全建设的起点和基础:信息安全风险评估的风险评估理论和方法在信息系统中的运用,是科学分析理解信息和信息系统在机密性、完整性、可用性等方面所面临的风险,并在风险的预防、控制、转移、补偿、分散等之间做出决策过程;
信息安全风险评估的需求主导和突出重点原则的具体体现:如果是信息安全建设必须从实际出发,检测需求主导、突出重点,则风险评估就是这一原则在实际工作中的重要体现。从理论上讲风险总是客观存在的,安全的安全风险与安全建设管理代价的综合平衡;
重视风险评估是信息化比较发达的国家的基本经验:由于信息技术的飞速发展,关系国计民生的关键信息基础设施的规模越来越大,同时也极大地增加了复杂程度,发达国家也越来越重视信息安全风险评估工作,提倡风险评估制度化;
对于安全风险评估的方法有很多种,概括起来可分为三大类:
定性分析方法(Qualitative):定性分析是最早被广泛采用的方法。定性分析技术大都基于判断、直觉和经验,因此可能由于直觉、经验的偏差而造成分析结果不准确,所以定性分析对风险分析人员有较高的要求,风险分析人员应具备丰富的风险分析经验。定性分析通过列出各种资产、威胁、脆弱性的清单;然后分析威胁利用资产的脆弱性将对资产造成怎样的后果和影响,并对其发生的可能性进行判定;最后还要对资产的敏感程度、威胁-脆弱性对所造成的后果和影响的严重程度进行分级。
定量分析方法(Quantitative):定量分析方法是试图从数值上对安全风险进行分析的方法。定量分析过程有两个基本指标作为参考事件发生的概率及事件造成的损失。定量分析是在定性分析的逻辑基础上,给出各个风险源的风险量化指标及其发生概率,再通过一定的方法合成,得到系统风险的量化值。它是基于定性分析基础上的数学处理过程。定量的评估方法的优点是用直观的数据来表述评估的结果客观,可以使研究结果更科学更严密、更深刻。有时,一个数据所能够说明的问题可能是用一大段文字也不能够阐述清楚的。但也存在为了量化,使本来比较复杂的事物简单化、模糊化了。有的风险因素被量化以后还可能被误解和曲解。现在发展较为成熟的方法有PRA(概率风险评估)、Markov分析方法、蒙特卡罗方法等。
半定量分析方法(Semi-Quantitative):半定量分析方法是定性与定量相结合的综合评估方法。系统风险评估是一个复杂的过程,需要考虑的因素很多,有些评估要素是可以用量化的形式来表达,而对有些要素的量化又是很困难甚至是不可能的,所以在风险评估也是一切都是量化的风险评估过程是科学准确的。定性分析是量化定量分析基础和前提。在复杂的信息系统风险评估过程中,不能将定性分析和定量分析两种方法简单地割裂开来而是应该将这两种方法融合起来,采用综合的评估方法。