六、知識子域：安全評估

閱讀提示 本知識域包括信息安全評估相關的知識，包括安全評估相關基礎知識、安全評估標準及信息系統審計三個知識域。學員通過學習需要掌握安全評估的相關概念、安全評估的實現方法及安全審計相關內容。

6.1  知識子域：安全評估基礎

評估是建立風險管理的基礎，安全評估是建立在風險管理有效的背景支持下的重要環節。通俗而言，我們把安全評估也會稱作風險評估或者安全風險評估。本章節也是對風險管理知識子域的重要補充和支撐。

6.1.1  安全評估概念

1.安全評估基本概念

安全評估也稱作風險評估，是針對事物潛在影響正常執行其職能的行為產生干擾或者破壞的因素進行識別、評價的過程。可將其分為狹義和廣義二種j狹義指對一個具有特定功能的工作系統中固有的或潛在的危險及其嚴重程度所進行的分析與評估，并以既定指數、等級或概率值做出定量的表示，最后根據定量值的大小決定采取預防或防護對策。廣義指利用系統工程原理和方法對擬建或已有工程、系統可能存在的危險性及其可能產生的后果進行綜合評價和預測，并根據可能導致的事故風險的大小，提出相應的安全對策措施，以達到工程、系統安全的過程。

信息化技術日益快速的發展使得各種平臺、應用相互關聯，并且不斷在變更，而組織機構對于信息安全投入有限，如何采取所有必要措施保護組織的資產是組織機構不可避免要面對的問題。環境越復雜，就越需要這種措施和控制來保證組織業務流程的連續性。