企业信息安全风险评估方式和方法

为了对信息系统安全性进行评估，必须选择一个适合本系统的方法体系，要有较高的可信度，同时要保证评估指标尽可能地量化，以支持评估方法的应用。风险分析的方法按照定性和定量的原则，可以分为定性分析方法、定量分析方法和定性与定量相结合的分析方法。

1.风险评估的形式

信息系统安全风险评估从信息系统拥有者的角度来看，可划分为三种形式，即自评估、委托评估和检查评估。

（1） 自评估，是指企业信息系统拥有者指定的本机构信息系统安全管理人员在信息系统运行维护中使用相应的安全风险评估工具，按照一定的规范进行的评估活动。从信息系统拥有者的角度来看，是完全主动的行为，其优点是可方便地进行经常性的评估，及时采取对策降低安全风险，是一种“自查自纠”的方式。这种方式因为是在企业内部进行，因此，一般不会引入评估带来的新的风险，但存在的主要问题是企业内部的评估人员缺乏安全专业性和评估的客观性。

（2）委托评估，是信息系统拥有者选择委托具有相应资质的评估单位按照一定的规范，对信息系统进行的独立的评估活动。从信息系统拥有者的角度来看是完全自愿的，并具有一定的选择性。其优点是专业性、公正性和客观性较强。需注意的是，对于评估可能引入新的风险，要加强控制。

（3）检查评估，是信息系统拥有者的上级机关或国家信息安全管理机关授权的评估单位，根据一定的管理权限和程序，按照一定的规范，对信息系统进行的独立的评估活动。此种评估带有检查的性质，从信息系统拥有者的角度来看，具有某种被动性。其优点是专业性、公正性、客观性较强，一般也不会引入评估带来的新的风险。

从企业可持续发展的角度来看，自评估是企业实现信息系统全面安全保障的必然趋势，是及时发现信息系统动态出现的安全问题以及对实施措施进行检查的最佳安全管理方式。信息安全建设是一个自我完善和自我提高的过程。管理能力、保护能力、事件发现和处置能力等诸多信息安全关键能力的提高，往往需要在所管辖的范围内，根据自身的实际情况，进行自我评估，层层落实责任。风险评估应作为一项经常性工作，同本企业的工作总结、安全检查等结合起来。在涉及一些重大问题时，第三方的安全风险评估由于具有专业性和中立性，公正、公平、科学、客观，在一段时期内将成为各企业的主要选择。

2.风险评估的方法

现有的信息安全评估方法主要采用定性分析法，而各专业评估公司大多数是凭借各自积累的经验来解决评估中的定量问题。企业信息安全风险评估常见的方法有以下几种：

（1）层次分析法（AHP） 。在信息系统风险评估过程中，层次分析法经常被用到，它是一种综合的评估方法。该方法是由美国运筹学专家萨蒂于20世纪70年代提出来的，是一种定性与定量相结合的多目标决策分析方法，这一方法的核心是将决策者的经验判断予以量化，从而为决策者提供定量形式的决策依据。该方法已被广泛应用于尚无统一度量标尺的复杂问题的分析解决、用纯参数数学模型方法难以解决的决策分析问题。该方法对系统进行分层次、拟定量、规范化处理，在评估过程中经历系统分解、安全性判断和综合判断三个阶段。

（2）决策树分析法。决策树分析法是常用的风险分析决策方法，该方法是一种用树形图来描述各方案在未来收益的计算、比较以及选择的方法，其决策是以期望值为标准的。人们在未来可能会遇到好几种不同的情况，每种情况均有出现的可能，人们目前无法确知，但是可以根据以前的资料来推断各种自然状态出现的概率。在这样的条件下，人们计算的各种方案在未来的经济效益，只能是考虑到各种自然状态出现的概率的期望值，与未来的实际收益不会完全相等。

如果一个决策只在树的根部有一决策点，则称为单级决策；若一个决策不仅在树的根部有决策点，而且在树的中间也有决策点，则称为多级决策。整个决策树由决策结点、方案分枝、状态结点、概率分枝和结果点五个要素构成。

（3）灰色系统分析法。控制论常用颜色的深浅来形容信息的明确程度。用“黑”表示信息未知，用“白”表示信息完全明确，用“灰”表示部分信息明确、部分信息不明确。信息不完全确知的系统称之为灰色系统，是介于信息完全知道的白色系统和一无所知的黑色系统之间的中间系统。

灰色系统是贫信息的系统，统计方法难以奏效。灰色系统理论能处理贫信息系统，适用于只有少量观测数据的项目。灰色系统理论是我国学者邓聚龙教授于1982年提出的。灰色系统理论主要是利用已知信息来确定系统的未知信息，使系统由“灰”变“白”。其最大的特点是对样本量没有严格的要求，不要求服从任何分布。

社会、经济等系统具有明显的层次复杂性、结构关系的模糊性、动态变化的随机性、指标数据的不完全性和不确定性。 由于灰色系统的普遍存在，决定了灰色系统理论具有十分广阔的发展前景。

（4） OCTAVE评估法。OCTAVE （Operationally Critical Treat， Assetand Vulnerability Evaluation，可操作性关键威胁评估和脆弱性评估）是由卡耐基·梅隆大学软件工程研究所CERT协调中心开发的用来定义一种系统的、企业范围内的风险评估方法。OCTAVE首先强调的是O——可操作性；其次是C——关键性，即最注重风险评估方法的可操作性。其对引起安全风险的关键性因素也很关注。OCTAVE的核心是自主原则，即由企业内部的人员来指导和实施该企业的信息资产风险评估，从而使企业能够更全面地把握自身信息资产的安全需求。同时，OCTAVE方法要求一个涵盖各专业的综合分析团队来执行风险评估，并承担安全改进工作的核心任务，它强调采用基于公认的、良好的安全实践方法来控制和管理企业信息资产所面临的各类风险。