風險評估是指���,在風險事件發(fā)生之前或之后(但還沒有結(jié)束)�����,該事件給人們的生活、生命�����、財產(chǎn)等各個方面造成的影響和損失的可能性進行量化評估的工作��。即����,風險評估就是量化測評某一事件或事物帶來的影響或損失的可能程度。
信息安全風險評估�,對特定威脅利用單個或一組資產(chǎn)脆弱性的可能性以及由此可能給組織帶來的損害進行識別、分析和評價的過程����。
是信息安全保障的基礎(chǔ)性工作和重要環(huán)節(jié),貫穿于網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)運行的全過程�。
服務(wù)提供者通過對信息系統(tǒng)提供風險評估服務(wù),系統(tǒng)地分析網(wǎng)絡(luò) 與信息系統(tǒng)所面臨的威脅及其存在的脆弱性�,評估安全事件一旦發(fā)生可能造成的危害程度,提出有針對性的抵御威脅的防護對策和安全整改措施�����,防范和消除信息安全風險����,或?qū)L險控制在可接受的水平,為網(wǎng)絡(luò)和信息安全保障提供科學依據(jù)�。
2.風險評估服務(wù)資質(zhì)如何評定��?
信息安全風險評估服務(wù)資質(zhì)級別是衡量服務(wù)提供者服務(wù)能力的尺度����。風險評估服務(wù)提供方的服務(wù)能力主要從以下四個方面體現(xiàn):基本資格、服務(wù)管理能力、服務(wù)技術(shù)能力和服務(wù)過程能力���。
服務(wù)人員的能力主要從掌握的知識��、風險評估服務(wù)的經(jīng)驗等綜合評定���。對服務(wù)提供方的背景審查主要指客戶投訴、違法違紀行為等����;服務(wù)人員的背景審查主要指行業(yè)主管部門或使用單位對從事風險評估服務(wù)的人員進行必要的審查。
資質(zhì)級別分為一級�、二級、三級共三個級別�,其中一級最高,三級最低���。
從信息安全的角度來講�,風險評估是對信息資產(chǎn)(即某事件或事物所具有的信息集)所面臨的威脅�、存在的弱點、造成的影響����,以及三者綜合作用所帶來風險的可能性的評估��。作為風險管理的基礎(chǔ)��,風險評估是組織確定信息安全需求的一個重要途徑�����,屬于組織信息安全管理體系策劃的過程���。
信息安全風險評估是參照風險評估標準和管理規(guī)范,對信息系統(tǒng)的資產(chǎn)價值����、潛在威脅、薄弱環(huán)節(jié)��、已采取的防護措施等進行分析���,判斷安全事件發(fā)生的概率以及可能造成的損失�,提出風險管理措施的過程�。當風險評估應(yīng)用于IT領(lǐng)域時,就是對信息安全的風險評估��。
企業(yè)對信息系統(tǒng)依賴性不斷增強�,而且存在無處不在的安全威脅和風險,從組織自身業(yè)務(wù)的需要和法律法規(guī)的要求的角度考慮��,更加需要增強對信息風險的管理��。
風險評估是風險管理的基礎(chǔ)�,風險管理要依靠風險評估的結(jié)果來確定隨后的風險控制和審核批準活動,使得組織能夠準確“定位”風險管理的策略�����、實踐和工具���。從而將安全活動的重點放在重要的問題上��,選擇成本效益合理的��、適用的安全對策�。
風險評估可以明確信息系統(tǒng)的安全現(xiàn)狀��,確定信息系統(tǒng)的主要安全風險��,是信息系統(tǒng)安全技術(shù)體系與管理體系建設(shè)的基礎(chǔ)���。
