下载掌阅APP,畅读海量书库
立即打开
信息安全风险评估是信息安全管理的核心环节。通过开展信息安全风险评估工作,发现组织在信息安全方面存在的主要问题和矛盾,合理地做出规划,正确地开展安全建设,提高信息安全保障水平。
信息安全风险评估是风险评估理论和方法在信息安全中的运用,科学分析组织的信息和信息系统在保密性、完整性、可用性等方面的问题,明确组织的安全风险,可以准确地了解组织的安全现状,才能做出决策并采取正确的措施。
所有信息安全建设都应该基于信息安全风险评估,只有在正确、全面地理解风险后,才能在控制风险、减少风险、转移风险之间做出正确的判断,决定调动多少资源、以什么代价、采取什么样的应对措施去控制风险。
信息安全建设必须从实际出发,坚持需求主导原则,并突出重点,风险评估就是这一原则在实际工作中的重要体现之一。风险总是客观存在的,安全是安全风险与安全建设管理代价的综合平衡。不考虑风险的信息化必然要付出代价;不计成本、片面地追求绝对安全,试图消灭风险或完全避免风险也是不现实的。应当坚持从实际出发,坚持需求主导、突出重点,科学地评估风险,有效控制风险。
单独的安全风险值没有实际意义,不能将计算风险值作为风险评估的唯一重点,也不能把风险值作为风险评估的唯一成果。将风险评估视为对风险值的数据处理是一种误区,只有将评估结果纳入整体的建设规划中,指导后续安全建设,风险评估才能发挥作用。
通过信息安全风险评估,可以全面、准确地了解组织机构的安全现状,发现信息安全问题及其可能的危害,分析组织的安全需求,找出目前的安全策略和实际需求的差距,为决策者制定安全策略、构架安全体系提供严谨的分析依据。