什么是信息安全風險評估？

    信息安全風險評估是參照風險評估標準和管理規范，對信息系統的資產價值、潛在威脅、薄弱環節（脆弱性）、已采取的防護措施等進行分析，判斷安全事件發生的概率以及可能造成的損失，提出風險管理措施的過程。當風險評估應用于IT領域時，就是對信息安全的風險評估。

    系統存在著脆弱性，就是我們常說的技術或管理上的漏洞，我們有時候講脆弱性。再加上人為或自然的威脅，導致一些信息安全事件的發生的可能性及其造成的影響，特別是負面影響。也就是說脆弱性和威脅是原因，可能性和影響是結果，當然還有一些其他的要素。信息安全風險評估是指對信息系統及其處理的傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行科學識別和評價的過程。

    風險評估從早期簡單的漏洞掃描、人工審計、滲透性測試這種類型的純技術操作，逐漸過渡到目前普遍采用國際標準的BS7799、ISO17799、國家標準《信息系統安全等級評測準則》等方法，充分體現以資產為出發點、以威脅為觸發因素、以技術/管理/運行等方面存在的脆弱性為誘因的信息安全風險評估綜合方法及操作模型。

如何開展信息安全風險評估？

    進行風險評估是非常重要的，而且是對于專業性要求比較高的一件事，所以每一個步驟都真實到位，才能夠確保最終出來的評估效果是可靠、準確的。

    按照GB/T20984-2022，風險評估一共四個步驟，所以下面做一些調整：
    第一步：評估準備
    此階段包括以下內容：確定風險評估的目標、對象、范圍和邊界；組建評估團隊開展前期調研；確定風險評估依據并建立風險評估評價準則，形成評估方案，評估方案需要獲得被評估方的支持和確認。
    第二步：風險識別
    風險識別階段是風險評估的核心環節，主要完成資產（資產包括業務資產、系統資產、系統組件和單元資產）、威脅、脆弱性的識別和賦值，同時完成已有安全措施的識別和有效性確認工作，為下一步的風險分析提供輸入。該階段將產生資產識別清單，威脅列表、脆弱性列表、已有安全措施列表等過程文檔。
    第三步：風險分析
    在接下來的風險分析階段，將依據識別的結果綜合計算得到風險值。此處的風險值包括兩個方面，其一為資產面臨的風險值，其二為業務面臨的風險值。風險值的計算主要從兩個方面進行考量，其一為安全事件發生的可能性，其二為安全事件發生后造成的損失。通過風險值的計算使得客戶能夠對于這些風險發生的可能性、以及所造成的后果有著更為直觀的認知。該階段將形成風險列表，包括具體風險的名稱、描述、風險值等。
    第四步：風險評價
    風險評估的最后一步就是進行風險評價，該階段將依據風險評價準則對系統資產風險計算結果、業務風險計算結果進行等級處理，評估的結果能夠為用戶進行風險處理提供決策支撐，如接受風險、規避風險、轉移風險、降低風險等，該階段將形成最終的風險評估報告。需要特別說明的是風險評估工作是持續性的活動，當評估對象的政策環境、外部威脅環境、業務目標、安全目標等發生變化時，應重新開展風險評估。

信息安全風險評估有什么意義？

    在互聯網時代，信息安全是每一家單位和企業都應該重視的事情。要知道信息一旦被黑客攻下，那么帶來的損失是無法衡量的。因此日常做好信息安全風險評估的工作是非常有必要的。

    能夠及時發現信息安全中存在的主要問題和矛盾

    我們知道，即使是日常使用的電腦也都要定期維護、查殺病毒，來確保安全使用。因此企業的系統更要注重日常的檢查，才能及時分析確定系統風險及風險大小，進而采取合適的措施去減少、轉移，有效避免風險或將風險控制在可以容忍的范圍內，將數據進行更好的保護。

    能夠加強信息安全保障體系建設和管理

    在信息系統的生命周期中的各個階段都應當進行風險評估，風險評估是一項持續性的活動。也就是說，它是安全信息建設的基礎所在。因為只有正確的全面的了解了風險后，才能在怎么控制風險這個問題上做出正確合理的判斷。比如調動什么樣的資源、付出什么樣的代價，采取怎么樣樣的措施去控制、轉移等等。另外，信息安全建設得基于一定的實際出發，做到安全投入與業務發展相適應，才能更好的規避風險。

    同時，精創信息所提供的具備法律效力的風險評估報告能夠有效的為用戶網絡信息安全領域相關決策、項目驗收等具體工作提供有效支撐

詳詢：028-87674900或173 6105 5003?

關注我司微信公眾號，了解更多信息