当前位置:首页>风险评估

风 险 评 估

风险评估是依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程。评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,结合事件所涉及的资产价值来判断事件发生对组织造成的影响,确定风险削弱对策。

风险评估与等级保护都是为了保障信息系统的安全,只是二者实施的目标、方法和技术标准不同。风险评估主要考虑信息系统自身安全,而等级保护还需要考虑信息系统服务对象的影响。

意义和作用

一、了解安全现状,发现安全隐患及其可能的危害,为分析安全需求提供依据。

二、分析安全需求,找出差距,制定安全策略和实施规范,为安全体系的设计提供参考。

三、认清安全环境和状态,明确责任,完善安全保障措施,保持安全策略的一致性和持续性,使之更加经济有效。

服务内容

专业权威:

我中心采用专业技术与管理相结合的方法,对资产、威胁和脆弱性进行赋值,通过风险计算矩阵得出风险值。排除潜在的威胁、弥补存在的弱点、削减风险的发生率,使整体的风险危害达到客户可控的程度,有效的为客户解决实际存在的安全问题,提高信息系统的安全保障能力。主要包括:

1.  识别单位资产,并进行赋值;

2.  识别威胁,并对其出现的频率赋值;

3.  识别脆弱性,并对其严重程度赋值;

4.  判断安全事件发生的可能性;

5.  计算安全事件的损失;

6.  根据安全事件发生的可能性以及安全事件出现后的损失,计算风险值;

7.  确定组织承受风险的能力;

8.  依据《风险评估规范》GB/T 20984-2007确定风险级别,编制《风险评估报告》。

风险评估内容示意图

风险判断示意图

实施流程

目前,国际上依据的风险分析标准有NIST SP 800-30 、BS7799、ISO/IEC 13335等。实施流程主要分为5个阶段,涉及12个操作步骤,10类文档,各环节首尾相连,保证评估工作顺利完成,评估过程如下:

风险评估实施过程示意图