信息安全风险评估概述

1.信息安全风险评估的概念和内涵

信息安全风险评估，是指依据有关信息安全技术和管理的权威标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程，评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁利用后产生的实际负面影响，并根据安全事件发生的可能性和负面影响的程度，来识别信息系统所处的安全等级以及所面临的安全风险。

信息安全风险评估，是信息安全保障体系过程中重要的评价方法和决策机制，大致要经历准备、资产识别、威胁识别、已有安全措施的确认、风险识别、风险评估结果记录等几个流程。准确、及时的风险评估，是相关机构对安全状况做出准确判断的重要保障。

2.信息安全风险评估的目的

信息安全风险评估的目的是认清当前的信息安全环境，全面、准确地了解组织机构的信息安全现状，发现系统的安全问题及其可能存在的危害，以便为系统最终安全需求的提出提供依据。根据网络信息系统的安全需求，找到目前的安全策略和实际需求的差异，为保护信息系统的安全提供科学依据，进而通过合理的步骤，制订出适合系统具体情况的安全策略及其管理和实施规范，为安全体系的设计提供参考。

通过加强信息安全风险评估工作的研究，清楚认识到网络信息系统包含的重要资产、面临的主要威胁和本身存在的弱点；各种威胁出现的可能性大小及其造成的影响；通过保护哪些资产，防止威胁出现；如何保护和防止才能保证系统达到一定的安全级别；提出的安全方案需要多少技术和费用的支持；进一步分析出信息系统的风险是如何随着时间变化的，以及将来应如何面对这些风险。

简而言之，通过风险评估，可以达到以下几个目的：①明确系统的安全需求；②对可能受到威胁的资产进行确认，并设定相应的安全级别；③确定可能对资产造成伤害的威胁和脆弱性；④制订相应的信息系统的安全策略。

3.信息安全风险评估的作用

信息安全风险评估是信息安全建设的起点和基础。信息安全风险评估是风险评估理论和方法在信息系统中的运用，是科学分析、理解信息和信息系统在机密性、完整性和可用性等方面所面临的风险，并在风险的预防、风险的控制、风险的转移等方面做出决策的过程。其作用可以分为以下三个方面：①信息安全风险评估是信息系统安全的基础性工作，也是观察过程的一个持续性的工作。②信息安全风险评估是分级防护和突出重点的具体体现。实现等级保护的关键在于突出重点，把握要害部位，再进行分级负责、分层实施。③加强信息安全风险评估工作是当前信息安全工作的客观需要和紧迫需求。风险评估是对信息系统生命周期的支持，生命周期包括规划和启动阶段、设计开发或采购阶段等。