什么是信息安全风险评估？

什么是信息安全风险评估？~

一、定义

信息安全风险评估是参照风险评估标准和管理规范，对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析，判断安全事件发生的概率以及可能造成的损失，提出风险管理措施的过程。当风险评估应用于IT领域时，就是对信息安全的风险评估。
风险评估从早期简单的漏洞扫描、人工审计、渗透性测试这种类型的纯技术操作，逐渐过渡到目前普遍采用国际标准的BS7799、ISO17799、国家标准《信息系统安全等级评测准则》等方法，充分体现以资产为出发点、以威胁为触发因素、以技术/管理/运行等方面存在的脆弱性为诱因的信息安全风险评估综合方法及操作模型。
二、风险评估对企业的重要性
企业对信息系统依赖性不断增强，而且存在无处不在的安全威胁和风险，从组织自身业务的需要和法律法规的要求的角度考虑，更加需要增强对信息风险的管理。风险评估是风险管理的基础，风险管理要依靠风险评估的结果来确定随后的风险控制和审核批准活动，使得组织能够准确“定位”风险管理的策略、实践和工具。从而将安全活动的重点放在重要的问题上，选择成本效益合理的、适用的安全对策。
风险评估可以明确信息系统的安全现状，确定信息系统的主要安全风险，是信息系统安全技术体系与管理体系建设的基础。
三、风险评估的个步骤：
步骤1：描述系统特征
步骤2：识别威胁（威胁评估）
步骤3：识别脆弱性（脆弱性评估）
步骤4：分析安全控制
步骤5：确定可能性
步骤6：分析影响
步骤7：确定风险
步骤8：对安全控制提出建议
步骤9：记录评估结果
四、风险评估的作用
任何系统的安全性都可以通过风险的大小来衡量。科学分析系统的安全风险，综合平衡风险和代价的过程就是风险评估。风险评估不是某个系统（包括信息系统）所特有的。在日常生活和工作中，风险评估也是随处可见，为了分析确定系统风险及风险大小，进而决定采取什么措施去减少、避免风险，把残余风险控制在可以容忍的范围内。人们经常会提出这样一些问题：什么地方、什么时间可能出问题？出问题的可能性有多大？这些问题的后果是什么？应该采取什么样的措施加以避免和弥补？并总是试图找出最合理的答案。这一过程实际上就是风险评估。

信息安全风险评估包括：
A . 信息资源面临威胁
B . 信息资源的脆弱性
C . 需保护的信息资产
D . 存在的可能风险

信息安全风险评估是从风险管理的角度，运用科学的手段，系统的分析网络与信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，为防范和化解信息安全风险，或者将风险控制在可以接受的水平，制定有针对性的抵御威胁的防护对策和整改措施以最大限度的保障网络和信息安全提供科学依据。
信息安全风险包括手机信息安全风险，e-mail风险，腾讯聊天信息风险等等。

什么是信息安全风险评估？
一、定义
信息安全风险评估是参照风险评估标准和管理规范，对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析，判断安全事件发生的概率以及可能造成的损失，提出风险管理措施的过程。当风险评估应用于IT领域时，就是对信息安全的风险评估。
风险评估从早期简单的漏洞扫描、人工审计、渗透性测试这种类型的纯技术操作，逐渐过渡到目前普遍采用国际标准的BS7799、ISO17799、国家标准《信息系统安全等级评测准则》等方法，充分体现以资产为出发点、以威胁为触发因素、以技术/管理/运行等方面存在的脆弱性为诱因的信息安全风险评估综合方法及操作模型。
二、风险评估对企业的重要性
企业对信息系统依赖性不断增强，而且存在无处不在的安全威胁和风险，从组织自身业务的需要和法律法规的要求的角度考虑，更加需要增强对信息风险的管理。风险评估是风险管理的基础，风险管理要依靠风险评估的结果来确定随后的风险控制和审核批准活动，使得组织能够准确“定位”风险管理的策略、实践和工具。从而将安全活动的重点放在重要的问题上，选择成本效益合理的、适用的安全对策。
风险评估可以明确信息系统的安全现状，确定信息系统的主要安全风险，是信息系统安全技术体系与管理体系建设的基础。
三、风险评估的个步骤：
步骤1：描述系统特征
步骤2：识别威胁（威胁评估）
步骤3：识别脆弱性（脆弱性评估）
步骤4：分析安全控制
步骤5：确定可能性
步骤6：分析影响
步骤7：确定风险
步骤8：对安全控制提出建议
步骤9：记录评估结果
四、风险评估的作用
任何系统的安全性都可以通过风险的大小来衡量。科学分析系统的安全风险，综合平衡风险和代价的过程就是风险评估。风险评估不是某个系统（包括信息系统）所特有的。在日常生活和工作中，风险评估也是随处可见，为了分析确定系统风险及风险大小，进而决定采取什么措施去减少、避免风险，把残余风险控制在可以容忍的范围内。人们经常会提出这样一些问题：什么地方、什么时间可能出问题？出问题的可能性有多大？这些问题的后果是什么？应该采取什么样的措施加以避免和弥补？并总是试图找出最合理的答案。这一过程实际上就是风险评估。
万方安全从事信息安全事业十多年，有多行业的安全服务成功案例，是一家提供一站式专业安全服务的信息安全服务厂商，在信息安全行业资历深厚。

---

玉屏侗族自治县15852072014： 信息安全风险评估(2007年清华大学出版社出版的图书) - 搜狗百科？
牧飞乐孚：同学你好,很高兴为您解答! 高顿网校为您解答: 从信息安全的角度来讲,风险评估是对信息资产(即某事件或事物所具有的信息集)所面临的威胁、存在的弱点、造成的影响,以及三者综合作用所带来风险的可能性的评估....

玉屏侗族自治县15852072014： 信息安全风险评估什么意思 - ？
牧飞乐孚： 风险评估是对信息及信息处理设施的威胁、影响、脆弱性及三者发生的可能性的评估.它是确认安全风险及其大小的过程,即利用定性或定量的方法,借助于风险评估工具,确定信息资产的风险等级和优先风险控制.风险评估是风险管理的最...

玉屏侗族自治县15852072014： 什么是信息安全、等级保护以及风险评估? - ？
牧飞乐孚： 一、什么是信息安全? 信息安全主要包括以下五方面的内容,即需保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性.信息安全本身包括的范围很大,其中包括如何防范商业企业机密泄露、防范青少年对不良信息的浏览、...

玉屏侗族自治县15852072014： 什么是风险评估?如何将它应用到实际工作中 - ？
牧飞乐孚： 风险评估的操作范围可以是整个组织,也可以是组织中的某一部门,或者独立的信息系统、特定系统组件和服务.影响风险评估进展的某些因素,包括评估时间、力度、展开幅度和深度,都应与组织的环境和安全要求相符合.组织应该针对不同...

玉屏侗族自治县15852072014： 网络安全风险评估怎么解释? ？
牧飞乐孚： 网络安全风险评估是指检测网络系统潜在的安全漏 洞和脆弱性,评估网络系统的安全状况.网络安全风险 评估是实现网络安全的重要技术之一.

玉屏侗族自治县15852072014： 信息安全风险评估有什么意义 - ？
牧飞乐孚： 信息安全风险评估是信息系统安全的基础性工作.它是传统的风险理论和方法在信息系统中的运用,是科学地分析和理解信息与信息系统在保密性、完整性、可用性等方面所面临的风险,并在风险的减少、转移和规避等风险控制方法之间做出决策的过程

玉屏侗族自治县15852072014： 什么叫风险评估 - ？
牧飞乐孚： 说得简单一点,就是你要做一件事之前你要想想你在这件事的时候会遇到什么样的问题,这些问题出现(发生)的概率各是多少,它们的出现会不会导致你的计划不能完成……等等的问题,就叫风险评估.这是对问题不乐观的一个预见,和效益分析相对.

玉屏侗族自治县15852072014： 安全风险评估的定义是运用( )的统计分析方法对安全风险进行分析...？
牧飞乐孚： 从信息安全的角度来讲,风险评估是对信息资产(即某事件或事物所具有的信息集)所面临的威胁、存在的弱点、造成的影响,以及三者综合作用所带来风险的可能性的评估.作为风险管理的基础,风险评估是组织确定信息安全需求的一个重要途径,属于组织信息安全管理体系策划的过程. 说白 了就是对你现在做的项目以后会遇到什么样风险进行预测,然后给出应急方案,还有项目风险预算,有点像公关!明白了吧!