什么是信息安全风险评估？

    信息安全风险评估是参照风险评估标准和管理规范，对信息系统的资产价值、潜在威胁、薄弱环节（脆弱性）、已采取的防护措施等进行分析，判断安全事件发生的概率以及可能造成的损失，提出风险管理措施的过程。当风险评估应用于IT领域时，就是对信息安全的风险评估。

    系统存在着脆弱性，就是我们常说的技术或管理上的漏洞，我们有时候讲脆弱性。再加上人为或自然的威胁，导致一些信息安全事件的发生的可能性及其造成的影响，特别是负面影响。也就是说脆弱性和威胁是原因，可能性和影响是结果，当然还有一些其他的要素。信息安全风险评估是指对信息系统及其处理的传输和存储的信息的保密性、完整性和可用性等安全属性进行科学识别和评价的过程。

    风险评估从早期简单的漏洞扫描、人工审计、渗透性测试这种类型的纯技术操作，逐渐过渡到目前普遍采用国际标准的BS7799、ISO17799、国家标准《信息系统安全等级评测准则》等方法，充分体现以资产为出发点、以威胁为触发因素、以技术/管理/运行等方面存在的脆弱性为诱因的信息安全风险评估综合方法及操作模型。

如何开展信息安全风险评估？

    进行风险评估是非常重要的，而且是对于专业性要求比较高的一件事，所以每一个步骤都真实到位，才能够确保最终出来的评估效果是可靠、准确的。

    按照GB/T20984-2022，风险评估一共四个步骤，所以下面做一些调整：
    第一步：评估准备
    此阶段包括以下内容：确定风险评估的目标、对象、范围和边界；组建评估团队开展前期调研；确定风险评估依据并建立风险评估评价准则，形成评估方案，评估方案需要获得被评估方的支持和确认。
    第二步：风险识别
    风险识别阶段是风险评估的核心环节，主要完成资产（资产包括业务资产、系统资产、系统组件和单元资产）、威胁、脆弱性的识别和赋值，同时完成已有安全措施的识别和有效性确认工作，为下一步的风险分析提供输入。该阶段将产生资产识别清单，威胁列表、脆弱性列表、已有安全措施列表等过程文档。
    第三步：风险分析
    在接下来的风险分析阶段，将依据识别的结果综合计算得到风险值。此处的风险值包括两个方面，其一为资产面临的风险值，其二为业务面临的风险值。风险值的计算主要从两个方面进行考量，其一为安全事件发生的可能性，其二为安全事件发生后造成的损失。通过风险值的计算使得客户能够对于这些风险发生的可能性、以及所造成的后果有着更为直观的认知。该阶段将形成风险列表，包括具体风险的名称、描述、风险值等。
    第四步：风险评价
    风险评估的最后一步就是进行风险评价，该阶段将依据风险评价准则对系统资产风险计算结果、业务风险计算结果进行等级处理，评估的结果能够为用户进行风险处理提供决策支撑，如接受风险、规避风险、转移风险、降低风险等，该阶段将形成最终的风险评估报告。需要特别说明的是风险评估工作是持续性的活动，当评估对象的政策环境、外部威胁环境、业务目标、安全目标等发生变化时，应重新开展风险评估。

信息安全风险评估有什么意义？

    在互联网时代，信息安全是每一家单位和企业都应该重视的事情。要知道信息一旦被黑客攻下，那么带来的损失是无法衡量的。因此日常做好信息安全风险评估的工作是非常有必要的。

    能够及时发现信息安全中存在的主要问题和矛盾

    我们知道，即使是日常使用的电脑也都要定期维护、查杀病毒，来确保安全使用。因此企业的系统更要注重日常的检查，才能及时分析确定系统风险及风险大小，进而采取合适的措施去减少、转移，有效避免风险或将风险控制在可以容忍的范围内，将数据进行更好的保护。

    能够加强信息安全保障体系建设和管理

    在信息系统的生命周期中的各个阶段都应当进行风险评估，风险评估是一项持续性的活动。也就是说，它是安全信息建设的基础所在。因为只有正确的全面的了解了风险后，才能在怎么控制风险这个问题上做出正确合理的判断。比如调动什么样的资源、付出什么样的代价，采取怎么样样的措施去控制、转移等等。另外，信息安全建设得基于一定的实际出发，做到安全投入与业务发展相适应，才能更好的规避风险。

    同时，精创信息所提供的具备法律效力的风险评估报告能够有效的为用户网络信息安全领域相关决策、项目验收等具体工作提供有效支撑

详询：028-87674900或173 6105 5003‬

关注我司微信公众号，了解更多信息