【摘要】:所有的安全风险评估都旨在为安全管理提供支持和服务,无论它发生在系统生命周期的哪个阶段,所不同的只在于其支持的管理决策阶段和内容。在风险评估中所使用的各种评估数据有两种,一是系统既定事实的描述数据;二是根据系统各种假设前提条件确定的预测数据。没有哪个风险评估不需要给定假设前提条件,因此信息安全风险评估具有前提假设性这一基本特性。
4.1.2 风险评估的基本特点
信息安全风险评估具有以下基本特点:
(1)决策支持性
所有的安全风险评估都旨在为安全管理提供支持和服务,无论它发生在系统生命周期的哪个阶段,所不同的只在于其支持的管理决策阶段和内容。
(2)比较分析性
对信息安全管理和运营的各种安全方案进行比较,对各种情况下的技术、经济投入和结果进行分析、权衡。
(3)前提假设性
在风险评估中所使用的各种评估数据有两种,一是系统既定事实的描述数据;二是根据系统各种假设前提条件确定的预测数据。不管发生在系统生命周期的哪个阶段,在评估时,人们都必须对尚未确定的各种情况做出必要的假设,然后确定相应的预测数据,并据此做出系统风险评估。没有哪个风险评估不需要给定假设前提条件,因此信息安全风险评估具有前提假设性这一基本特性。
(4)时效性
必须及时使用信息安全风险评估的结果,过期则可能出现失效而无法使用,失去风险评估的作用和意义。
(5)主观与客观集成性
信息安全风险评估是主观假设和判断与客观情况和数据的结合。
(6)目的性
信息安全风险评估的最终目的是为信息安全管理决策和控制措施的实施提供支持。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
