風(fēng)險評估是指���,在風(fēng)險事件發(fā)生之前或之后(但還沒(méi)有結束)�����,該事件給人們的生活�、生命��、財產(chǎn)等各個(gè)方面造成的影響和損失的可能性進(jìn)行量化評估的工作�。即�����,風(fēng)險評估就是量化測評某一事件或事物帶來(lái)的影響或損失的可能程度��。
2.什么是信息安全風(fēng)險評估�����?
信息安全風(fēng)險評估����,對特定威脅利用單個(gè)或一組資產(chǎn)脆弱性的可能性以及由此可能給組織帶來(lái)的損害進(jìn)行識別���、分析和評價(jià)的過(guò)程��。
是信息安全保障的基礎性工作和重要環(huán)節����,貫穿于網(wǎng)絡(luò )和信息系統建設運行的全過(guò)程�。
服務(wù)提供者通過(guò)對信息系統提供風(fēng)險評估服務(wù)���,系統地分析網(wǎng)絡(luò ) 與信息系統所面臨的威脅及其存在的脆弱性���,評估安全事件一旦發(fā)生可能造成的危害程度����,提出有針對性的抵御威脅的防護對策和安全整改措施�����,防范和消除信息安全風(fēng)險��,或將風(fēng)險控制在可接受的水平����,為網(wǎng)絡(luò )和信息安全保障提供科學(xué)依據����。
2.風(fēng)險評估服務(wù)資質(zhì)如何評定�����?
信息安全風(fēng)險評估服務(wù)資質(zhì)級別是衡量服務(wù)提供者服務(wù)能力的尺度�����。風(fēng)險評估服務(wù)提供方的服務(wù)能力主要從以下四個(gè)方面體現:基本資格��、服務(wù)管理能力�、服務(wù)技術(shù)能力和服務(wù)過(guò)程能力�。
服務(wù)人員的能力主要從掌握的知識���、風(fēng)險評估服務(wù)的經(jīng)驗等綜合評定����。對服務(wù)提供方的背景審查主要指客戶(hù)投訴�����、違法違紀行為等���;服務(wù)人員的背景審查主要指行業(yè)主管部門(mén)或使用單位對從事風(fēng)險評估服務(wù)的人員進(jìn)行必要的審查�。
資質(zhì)級別分為一級���、二級���、三級共三個(gè)級別����,其中一級最高����,三級最低�����。
從信息安全的角度來(lái)講��,風(fēng)險評估是對信息資產(chǎn)(即某事件或事物所具有的信息集)所面臨的威脅�、存在的弱點(diǎn)�、造成的影響��,以及三者綜合作用所帶來(lái)風(fēng)險的可能性的評估�。作為風(fēng)險管理的基礎�����,風(fēng)險評估是組織確定信息安全需求的一個(gè)重要途徑�,屬于組織信息安全管理體系策劃的過(guò)程�����。
信息安全風(fēng)險評估是參照風(fēng)險評估標準和管理規范�,對信息系統的資產(chǎn)價(jià)值�、潛在威脅����、薄弱環(huán)節�、已采取的防護措施等進(jìn)行分析����,判斷安全事件發(fā)生的概率以及可能造成的損失��,提出風(fēng)險管理措施的過(guò)程����。當風(fēng)險評估應用于IT領(lǐng)域時(shí)����,就是對信息安全的風(fēng)險評估��。
企業(yè)對信息系統依賴(lài)性不斷增強���,而且存在無(wú)處不在的安全威脅和風(fēng)險�����,從組織自身業(yè)務(wù)的需要和法律法規的要求的角度考慮����,更加需要增強對信息風(fēng)險的管理�����。
風(fēng)險評估是風(fēng)險管理的基礎���,風(fēng)險管理要依靠風(fēng)險評估的結果來(lái)確定隨后的風(fēng)險控制和審核批準活動(dòng)��,使得組織能夠準確“定位”風(fēng)險管理的策略�、實(shí)踐和工具����。從而將安全活動(dòng)的重點(diǎn)放在重要的問(wèn)題上���,選擇成本效益合理的��、適用的安全對策�����。
風(fēng)險評估可以明確信息系統的安全現狀����,確定信息系統的主要安全風(fēng)險��,是信息系統安全技術(shù)體系與管理體系建設的基礎�����。
