一、信息安全風(fēng)險(xiǎn)評(píng)估的基本概念
信息系統(tǒng)的安全風(fēng)險(xiǎn),是指由于系統(tǒng)存在的脆弱性,人為或自然的威脅導(dǎo)致安全事件發(fā)生的可能性及其造成的影響。信息安全風(fēng)險(xiǎn)評(píng)估是指依據(jù)國家有關(guān)信息安全標(biāo)準(zhǔn),對(duì)信息系統(tǒng)及由其處理、傳輸和存儲(chǔ)的信息的保密性、完整性和可用性等安全屬性進(jìn)行科學(xué)評(píng)價(jià)的過程,它要評(píng)估信息系統(tǒng)面臨的威脅以及脆弱性被威脅源利用后安全事件發(fā)生的可能性,并結(jié)合資產(chǎn)的重要程度來識(shí)別信息系統(tǒng)的安全風(fēng)險(xiǎn)。信息安全風(fēng)險(xiǎn)評(píng)估就是從風(fēng)險(xiǎn)管理角度,運(yùn)用科學(xué)的分析方法和手段,系統(tǒng)地分析信息化業(yè)務(wù)和信息系統(tǒng)所面臨的人為和自然的威脅及其存在的脆弱性,評(píng)估安全事件一旦發(fā)生可能造成的危害程度,提出有針對(duì)性的抵御威脅的防護(hù)對(duì)策和整改措施,以防范和化解風(fēng)險(xiǎn),或者將殘余風(fēng)險(xiǎn)控制在可接受的水平,從而最大限度地保障網(wǎng)絡(luò)與信息安全。
二、信息安全風(fēng)險(xiǎn)評(píng)估各要素之間的關(guān)系
