專業(yè)* 上海鑫淄(圖)-風(fēng)險(xiǎn)評(píng)估報(bào)告-武漢風(fēng)險(xiǎn)評(píng)估

風(fēng)險(xiǎn)管理

風(fēng)險(xiǎn)評(píng)估是對(duì)信息資產(chǎn)面臨的威脅、存在的弱點(diǎn)、造成的影響，以及三者綜合作用而帶來風(fēng)險(xiǎn)的可能性的評(píng)估。 安全風(fēng)險(xiǎn)評(píng)估就是從風(fēng)險(xiǎn)管理角度，運(yùn)用科學(xué)的方法和手段，系統(tǒng)地分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評(píng)估安全事件一旦發(fā)生可能造成的危害程度，提出有針對(duì)性的抵御威脅的防護(hù)對(duì)策和整改措施。風(fēng)險(xiǎn)評(píng)估工作貫穿信息系統(tǒng)整個(gè)生命周期，包括規(guī)劃階段、設(shè)計(jì)階段、實(shí)施階段、運(yùn)行階段、廢棄階段等。

風(fēng)險(xiǎn)投資基線

采用基線風(fēng)險(xiǎn)評(píng)估，組織根據(jù)自己的實(shí)際情況(所在行業(yè)、業(yè)務(wù)環(huán)境與性質(zhì)等)，對(duì)信息系統(tǒng)進(jìn)行安全基線檢查(拿現(xiàn)有的安全措施與安全基線規(guī)定的措施進(jìn)行比較，找出其中的差距)，得出基本的安全需求，通過選擇并實(shí)施標(biāo)準(zhǔn)的安全措施來消減和控制風(fēng)險(xiǎn)。所謂的安全基線，是在諸多標(biāo)準(zhǔn)規(guī)范中規(guī)定的一組安全控制措施或者慣例，這些措施和慣例適用于特定環(huán)境下的所有系統(tǒng)，可以滿足基本的安全需求，風(fēng)險(xiǎn)評(píng)估報(bào)告，能使系統(tǒng)達(dá)到一定的安全防護(hù)水平。組織可以根據(jù)以下資源來選擇安全基線:和國(guó)家標(biāo)準(zhǔn)，例如BS 7799-1、ISO 13335-4;行業(yè)標(biāo)準(zhǔn)或推薦，來自其他有類似商務(wù)目標(biāo)和規(guī)模的組織的慣例。

詳細(xì)評(píng)估的優(yōu)點(diǎn)在于：

組織可以通過詳細(xì)的風(fēng)險(xiǎn)評(píng)估而對(duì)信息安全風(fēng)險(xiǎn)有一個(gè)的認(rèn)識(shí)，并且準(zhǔn)確定義出組織的安全水平和安全需求；組合，基線風(fēng)險(xiǎn)評(píng)估耗費(fèi)資源少、周期短、操作簡(jiǎn)單，但不夠準(zhǔn)確，適合一般環(huán)境的評(píng)估；詳細(xì)風(fēng)險(xiǎn)評(píng)估準(zhǔn)確而細(xì)致，安全風(fēng)險(xiǎn)評(píng)估，但耗費(fèi)資源較多，武漢風(fēng)險(xiǎn)評(píng)估，適合嚴(yán)格限定邊界的較小范圍內(nèi)的評(píng)估。基于在實(shí)踐當(dāng)中，組織多是采用二者結(jié)合的組合評(píng)估方式。為了決定選擇哪種風(fēng)險(xiǎn)評(píng)估途徑，組織首先對(duì)所有的系統(tǒng)進(jìn)行一次初步的風(fēng)險(xiǎn)評(píng)估，著眼于信息系統(tǒng)的商務(wù)價(jià)值和可能面臨的風(fēng)險(xiǎn)，識(shí)別出組織內(nèi)具有高風(fēng)險(xiǎn)的或者對(duì)其商務(wù)運(yùn)作極為關(guān)鍵的信息資產(chǎn)（或系統(tǒng)），這些資產(chǎn)或系統(tǒng)應(yīng)該劃入詳細(xì)風(fēng)險(xiǎn)評(píng)估的范圍，而其他系統(tǒng)則可以通過基線風(fēng)險(xiǎn)評(píng)估直接選擇安全措施。