風(fēng)險(xiǎn)評(píng)估與風(fēng)險(xiǎn)管理的概念
添加時(shí)間:2014-06-19 19:14:59
風(fēng)險(xiǎn)評(píng)估 (Risk Assessment):有時(shí)候也稱為風(fēng)險(xiǎn)分析�����,是組織使用適當(dāng)?shù)娘L(fēng)險(xiǎn)評(píng)估工具����,對(duì)信息和信息處理設(shè)施的威脅(Threat)、影響(Impact)和薄弱點(diǎn)(Vulnerability)及其發(fā)生的可能性的評(píng)估�����,也就是確認(rèn)安全風(fēng)險(xiǎn)及其大小的過程。
風(fēng)險(xiǎn)評(píng)估是信息安全管理的基礎(chǔ)��,它為安全管理的后續(xù)工作提供方向和依據(jù)���,后續(xù)工作的優(yōu)先等級(jí)和關(guān)注程度都是由信息安全風(fēng)險(xiǎn)決定的�,而且安全控制的效果也必須通過對(duì)剩余風(fēng)險(xiǎn)的評(píng)估來衡量�����。
風(fēng)險(xiǎn)管理是信息安全管理體系建立的基礎(chǔ)����。完整的風(fēng)險(xiǎn)管理包括資產(chǎn)識(shí)別、資產(chǎn)估值�、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)評(píng)價(jià)����、風(fēng)險(xiǎn)處理和剩余風(fēng)險(xiǎn)評(píng)估等過程,這些過程需要處理大量的數(shù)據(jù)��,而資產(chǎn)���、資產(chǎn)屬性����、威脅、薄弱點(diǎn)����、事件的影響、發(fā)生的可能性����、控制措施等風(fēng)險(xiǎn)評(píng)估要素隨著評(píng)估過程、溝通過程���、監(jiān)視和評(píng)審過程、重復(fù)的評(píng)估過程而不斷變化�����,需要不斷的重復(fù)的進(jìn)行大量的數(shù)據(jù)處理���。風(fēng)險(xiǎn)評(píng)估是一把雙刃劍���,組織可以通過風(fēng)險(xiǎn)評(píng)估,發(fā)現(xiàn)風(fēng)險(xiǎn),進(jìn)而控制風(fēng)險(xiǎn)�����。但是���,風(fēng)險(xiǎn)評(píng)估結(jié)果本身對(duì)組織也是一項(xiàng)威脅���,如果保管不當(dāng),被泄漏出去�,則攻擊者將全面了解組織的風(fēng)險(xiǎn)所在,可以發(fā)起有的放矢的攻擊�。因此,必須妥善保護(hù)風(fēng)險(xiǎn)評(píng)估的結(jié)果�。傳統(tǒng)的風(fēng)險(xiǎn)評(píng)估一般利用Excel表格來完成,非常容易被利用E-mail��,U盤等媒體傳遞�����,造成風(fēng)險(xiǎn)��。
風(fēng)險(xiǎn)管理(Risk Management):以可接受的費(fèi)用識(shí)別��、控制、降低或消除可能影響信息系統(tǒng)的安全風(fēng)險(xiǎn)的過程����。風(fēng)險(xiǎn)管理通過風(fēng)險(xiǎn)評(píng)估來識(shí)別風(fēng)險(xiǎn)大小,通過制定信息安全方針�����,選擇適當(dāng)?shù)目刂颇繕?biāo)與控制方式使風(fēng)險(xiǎn)得到避免�����、轉(zhuǎn)移或降至一個(gè)可被接受的水平�。在風(fēng)險(xiǎn)管理方面應(yīng)考慮控制費(fèi)用與風(fēng)險(xiǎn)之間的平衡。
在風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理方法被應(yīng)用的過程中�����,評(píng)估時(shí)間����、力度以及具體開展的深度應(yīng)與組織的環(huán)境和安全要求相稱���。按照風(fēng)險(xiǎn)評(píng)估的深度����,風(fēng)險(xiǎn)評(píng)估方法可分為:
□ 基本的風(fēng)險(xiǎn)評(píng)估方法:對(duì)組織所面臨的風(fēng)險(xiǎn)全部采用統(tǒng)一、簡(jiǎn)單的方法進(jìn)行評(píng)估分析并確定一個(gè)安全標(biāo)準(zhǔn)����,這種方法僅適用于規(guī)模小、流程簡(jiǎn)單�����、信息安全要求不是很高的組織���;
□ 詳細(xì)的風(fēng)險(xiǎn)評(píng)估方法:對(duì)信息系統(tǒng)中所有的部分都進(jìn)行詳細(xì)的評(píng)估分析����;
□ 聯(lián)合的風(fēng)險(xiǎn)評(píng)估方法:先鑒定出一個(gè)信息系統(tǒng)中的高風(fēng)險(xiǎn)���、關(guān)鍵�����、敏感部分進(jìn)行詳細(xì)的評(píng)估分析�����,然后對(duì)其他的部分采取基本的評(píng)估分析�。
