返回
信息安全的风险评估

信息安全的风险评估

ID:22124606

大小:55.00 KB

页数:7页

时间:2018-10-27

信息安全的风险评估_第1页
信息安全的风险评估_第2页
信息安全的风险评估_第3页
信息安全的风险评估_第4页
信息安全的风险评估_第5页
资源描述:

《信息安全的风险评估》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、信息安全的风险评估随着科技信息化的发展,信息安全问题成为信息系统最重要的问题之一。信息安全风险评估是建立信息系统安全体系的基础,能有力保障信息系统的安全性,促进国家信息化的发展。该文将对我国信息安全的风险评估问题进行探讨,并对信息安全风险评估的相关问题提出相应对策。信息产业的迅猛发展,使得信息化技术成为社会发展的必要组成部分,信息化技术为国民经济的发展注入了新鲜的活力,更加速了国名经济的发展和人民生活水平的提高。当然,人们在享受信息技术带来的巨大便利时,也面临着各种信息安全问题带来的威胁。这种信息安全事件带来的影响是恶劣的,它将造成巨大的财产损失和信息系统的损害。因此,信息系统的安全问题不

2、得不引起社会和民众的关注,完善信息系统的安全性,加强信息安全的风险评估成为亟待解决的问题。1信息安全风险评估概述及必要性1.1信息安全风险评估概述首先,信息安全风险,主要是指人为或自然的利用信息系统脆弱性操作威胁信息系统,以导致信息系统发生安全事件或造成一定消极影响的可能。而信息安全风险评估简单的理解,就是以减少信息安全风险为目的通过科学处理信息系统的方法对信息系统的保密性、完整性进行评估。信息安全风险评估工作是一项保证信息系统相对安全的重要工作,必须科学的对信息系统的生命周期进行评估,最大限度的保障X络和信息的安全。1.2信息安全风险评估的必要性信息安全评估是为了更好的保障信息系统的安全

3、,以确保对信息化技术的正常使用。信息安全风险评估是信息系统安全管理的必要和关键的环节,因为信息系统的安全管理必须建立在科学的风险评估基础上,科学的风险评估有利于正确判断信息系统的安全风险问题,提供风险问题的及时解决方案。2信息安全风险评估过程及方法信息安全风险的评估过程极其复杂和规范。为了加强我国信息安全风险评估工作的开展,这里有必要对风险评估的过程和方法给予提示和借鉴。风险评估的过程要求完整而准确。具体有如下步骤:1)风险评估的准备工作,即要确定信息系统资产,包含范围、价值、评估团队、评估依据和方法等方面。要明确好这些资产信息,做好识别。2)对资产的脆弱性及威胁的识别工作,这是由于信息系

4、统存在脆弱性的特点,所以要周密分析信息系统的脆弱点,统计分析信息系统发生威胁事件的可能性以及可能造成的损失。3)安全风险分析,这是较为重要的环节。主要是采用方法与工具确定威胁利用信息系统脆弱性导致安全事件发生的可能性,便于决策的提出。4)制定安全控制措施,主要有针对性的制定出控制威胁发生的措施,并确认措施的有效性,最大限度的降低安全风险,确保信息系统的安全。5)措施实施的阶段,主要是在有效监督下实施安全措施,并及时发现问题和改正。对于信息安全风险评估的方法,国内外进行了很多不同的方法尝试。方法一般都遵循风险评估的流程,只是在手段和计算方法上有差异,但是分别都有一定的评估效果。主要采用:定性

5、评估、定量评估、以及定性与定量相结合的评估,最后的方法是一个互补的评估方式,能达到评估的最佳效果。3我国信息安全风险评估发展现状较美国等西方国家关于信息安全系统风险评估的发展历史和技术研究,我国起步比较晚且落后于发达国家。但近年来,随着社会各界对信息系统安全的重视,我国开始在信息系统安全管理工作上加大力度,并把信息系统的安全评估工作放在重要的位置,不断创新研究,取得了高效成果。但是,就我国目前的信息安全风险评估工作看来,还存在诸多问题。1)我国部分企业、组织和部门对于信息系统安全风险评估没有引起绝对的重视,没有大力普及风险评估工作。由于领导者及员工的信息安全防范意识不强以及自身素质水平的影

6、响,导致对风险评估的流程及必要性都不了解,就不太重视对企业信息系统的安全风险评估工作。2)我国缺乏信息系统安全风险评估的规范化标准。我国目前的信息系统安全风险评估工作的开展,大部分依靠参考国际标准提供服务,只注重效仿,而缺乏对我国信息系统安全风险的实际状况的研究,没有针对性,得不到应有的效果。3)我国缺乏行之有效的理论和技术,也缺乏实践的经验。由于科技水平的相对落后,对于信息系统的安全风险评估缺乏合适的理论、方法、技术等。我国仅依靠深化研究IT技术共性风险,而没有针对性的行业信息个性风险评估,这是没有联系实际的举措,是不能真正将信息系统的安全风险评估落实到位的。4)在对信息系统安全风险的额

7、评估中角色的责任不明确。这应该归咎于领导的和员工的不符责任及素质水平的落后。对风险评估理论缺乏,那么就会导致参与评估工作领导和员工角色不明确,领导对评估工作的指导角色以及责任不明确,员工则对评估工作流程方法不理解,都大大降低了风险评估的工作效率。以上种种关于信息系统安全风险评估的现状问题反映出我国在对信息系统安全风险评估的工作还缺乏很多理论和实践的指导。我国的信息系统安全风险评估工作的开展力度还远不够,那些在信息系统安全

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。