8.2.5.2 信息安全風險評估

信息安全風險評估是開展信息安全建設工作的基礎。信息安全風險評估主要是從風險管理角度，運用科學的評估方法和手段，系統地分析信息系統所面臨的威脅及其存在的脆弱性，評估安全事件一旦發生對信息系統可能造成的危害程度，提出有針對性的抵御威脅的防護對策和整改措施。信息安全風險評估的目的是為了防范和化解信息安全風險，或者將風險控制在可接受的范圍之內。

信息安全風險評估的基本內容包括資產評估、威脅評估、弱點評估和風險評估。資產評估是對信息系統相關的有形或無形資產如硬件、軟件、文檔、數據、服務以及企業形象等進行評估，根據它們分別具有不同的價值屬性和存在特點，分析其存在的弱點、面臨的威脅、需要進行的保護和安全控制等。威脅評估是對信息資產面臨的威脅進行評估，分析威脅的來源、種類、特性和變化規律，生成威脅報告。弱點評估是對信息資產具有的弱點進行評估，包括網絡安全脆弱性評估、主機系統安全脆弱性評估、數據庫和數據安全脆弱性評估、應用安全脆弱性評估和安全管理脆弱性評估。風險評估是指在資產評估、威脅評估、脆弱性評估、安全影響評估的基礎上，綜合利用風險分析方法，確定風險的等級。

風險評估常用的方法有概率分布、外推法、定性評估、矩陣圖分析、風險發展趨勢評價方法、項目假設前提評價及數據準確度評估等。風險評估不應僅停留在“定性”的評估分析，更需要對安全風險有一個“定量”的評估結果，風險量化的計算需要量化威脅、弱點與影響等組成要素。依據現有的風險管理計劃、風險及風險條件排序表、歷史資料、專家判斷及其他統計資料，利用面談、靈敏度分析、決策分析和模擬的方法和技術，得出量化序列表、事件確認研究以及所產生的資產損失等量化結果。許多方法都要用到表格并結合主觀的經驗性衡量，企業需要選擇適合的方法，要有較高的可信度，并能產生可重復的結果。