【摘要】:信息安全是指保护组织信息的安全,使其避免受到来自企业内外部的有意或无意的破坏。信息安全风险评估,要评估信息系统的资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。信息系统的安全风险评估贯穿于信息系统生命周期的始终。信息安全的基本内容包括实体安全、运行安全、信息资产安全和人员安全等内容。
信息安全是指保护组织信息的安全,使其避免受到来自企业内外部的有意或无意的破坏。国家标准《信息安全技术信息安全风险评估规范》中,对风险评估的定义为:“依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程。”信息安全风险评估,要评估信息系统的资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。
信息系统的安全风险评估贯穿于信息系统生命周期的始终。从系统的规划、设计、实施、运行维护和废弃的各个阶段都应进行信息系统的安全风险评估,以了解系统在不同时期存在的不同风险,从而采取必要的措施来降低、转移、规避风险。
信息安全大致分为两大类:一是指具体的信息安全技术系统的安全,二是指某些特定的信息体系(如银行系统、军事指挥系统)的安全。随着信息技术的发展,信息技术对企业越来越重要,企业信息安全一直是人们关注的焦点。
信息安全的基本内容包括实体安全、运行安全、信息资产安全和人员安全等内容。实体安全,指环境安全、设备安全和媒体安全;运行安全,是为了保障系统功能的安全实现,所提供的一套安全措施来保护信息处理过程的安全;信息资产安全,是防止信息资产被故意的或偶然的非授权泄露、更改、破坏,或使信息被非法的系统辨识、控制,即确保信息的完整性、可用性、保密性和可控性;人员安全,主要是指信息系统使用人员的安全意识、法律意识、安全技能等。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
