风险评估是一项系统的、全面的评估过程,需要评估人员在充分了解被评估对象的前提下,依据国家相关法律法规和标准、行业主管部门的要求以及相关机构的规定,对被评估对象进行全面分析,将其面临的各种威胁、风险及其危害程度进行量化,并按照确定的风险等级对被评估对象进行风险等级的划分。
信息安全风险评估是指在充分考虑国家信息安全法律法规、标准和政策要求的前提下,采用定量与定性相结合的方法,对信息系统及其网络、数据和应用进行风险分析,并对其面临的各种威胁、风险及其危害程度进行量化和描述。风险评估是为了避免或减轻信息系统潜在危害而采取一系列措施,这些措施主要包括:确定和管理安全策略;制定安全目标;建立安全策略体系;采取系统防护措施;实施安全维护;评价安全策略实施效果等。
信息安全风险评估是一个综合性的工作,需要多方人员参与才能完成。在项目中会遇到以下几种情况:
信息系统在实施之前就已经进行了相关的设计和规划,所以在进行信息系统风险评估时不能再按照设计规划去进行。
信息系统已经存在一定程度的漏洞或缺陷,但没有被及时发现和处理。
信息系统在建设过程中并没有按照相关标准或规范进行建设和部署,所以需要重新进行风险评估。
项目结束后,原有设备已经淘汰或废弃,没有了运行环境。
项目人员对业务不了解或者对业务不熟悉,对业务流程也不熟悉。
项目完成后存在大量的冗余设备。