风险评估的内涵

4.1.3　风险评估的内涵

1.风险评估是信息安全建设和管理的科学方法

风险评估是信息安全等级保护管理的基础工作，是系统安全风险管理的重要环节。

风险评估是信息安全保障工作的重要方法，是风险管理理论和方法在信息化中的运用，是正确确定信息资产、合理分析信息安全风险、科学管理风险和控制风险的过程。

信息安全旨在保护信息资产免受威胁。考虑到各类威胁，绝对安全可靠的网络系统并不存在，只能通过一定的措施把风险降低到可以接受的程度。信息安全评估是有效保证信息安全的前提条件。只有准确了解系统安全需求、安全漏洞及其可能的危害，才能制定正确的安全策略，制定并实施信息安全对策。另外，风险评估也是制定安全管理措施的依据之一。

还有，客户单位业务主管并不是不重视信息安全工作，而是不知道具体的信息安全风险是什么，不知道信息安全风险来自何方、有多大，不知道做好信息安全工作要投入多少人力、财力、物力，不知道应采取什么样的措施来加强信息安全保障工作，对已采取的信息安全措施也不知道是否有效。所以我们说信息安全风险评估应该成为各个单位信息化建设的一种内在要求，各主管和应用单位应该负责好自己系统的信息安全风险评估工作。

2.风险评估是分析确定风险的过程

风险评估是依据国家标准规范，对信息系统的完整性、保密性、可用性等安全保障性能进行科学、公正地综合评估地活动。它是确认安全风险及其大小的过程，即利用适当的风险评估工具，包括定性和定量的方法，确认信息资产自身的风险等级和风险控制的优先顺序。风险评估是识别系统安全风险并确定风险出现的概率、结果的影响以及提出补充的安全措施以缓和风险影响的过程。

3.风险评估是信息安全建设的起点和基础

风险评估是信息安全建设的起点和基础，科学地分析理解信息和信息系统在保密性、完整性、可用性等方面所面临的风险，并在风险的预防、风险的减少、风险的转移、风险的补偿、风险的分散等之间做出决策。

所有信息系统的安全建设都应在风险评估的基础上，正确而全面地理解系统安全风险后，才能在控制风险、减少风险、转移风险之间做出正确的判断，决定调动多少资源、以什么样的代价、采取什么样的应对措施去化解、控制风险。风险评估是对现有系统安全性进行分析的第一手资料，它为降低系统安全风险、实施风险管理及风险控制提供了直接的依据。因此，风险评估是信息安全管理体系建设所必须的基础工作。

信息系统安全建设的基本原则是必须从实际出发，坚持需求主导、突出重点。风险评估正是这一原则在实际工作中的具体体现。从理论上讲不存在绝对的安全，风险总是客观存在的。安全是安全风险与安全建设管理代价的综合平衡。不计成本、片面地追求绝对安全，试图完全消灭风险或完全避免风险是不现实的。坚持从实际出发，坚持需求主导、突出重点，就必须科学地评估风险，有效控制风险。

4.风险评估是在倡导一种适度安全

随着信息技术在国家各个领域的广泛应用，传统的安全管理方法已不适应信息技术带来的变化，不能科学全面地分析、判断网络和信息系统的安全状态，在网络和信息系统建设和运行过程中，出现了不能采取适当的安全措施、投入适当的安全经费，以达到适当的安全目标的偏差。

信息安全风险评估就是从风险管理的角度，运用科学的方法和手段，系统地分析网络与信息系统所面临的威胁及存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出针对性抵御的防护对策和整改措施，并为防范和化解信息安全风险或者将风险控制在可接受的水平，最大限度地保障网络和信息安全提供科学依据。

风险评估在信息安全保障体系建设中具有不可替代的地位和重要作用，它是实施等级保护的前提，又是检查、衡量系统安全状况的基础工作。风险评估是分析确定风险的过程。分析确定系统风险及其大小，进而决定采取什么措施去减少、转移、避免和对抗风险，确定把风险控制在可以容忍的范围内，这就是风险评估的主要流程。