初识信息安全风险评估(一) – 作者:凯信特安全团队

初识信息安全风险评估(一)

  随着信息科技在人类生活中占有越来越高的比重,信息的安全也成为现在社会所面临的一个严峻问题,应用而生的诞生了信息安全风险评估,也同时衍生出信息安全风险评估这一行业,但是对于一个刚刚接触信息安全风险评估,或者从来没有接触过信息安全风险评估的人来说,这个新型的名词确实不知其所以然。那么,就让我这个初入职场的小白向大家分享一下我的经验,以此来与大家交流,存在不足还请大家多多指教。

首先,我们从信息安全风险的概念出发,了解何谓信息安全风险。信息安全风险是指在信息化建设中,各类应用系统及其赖以运行的基础网络、处理的数据和信息,由于其可能存在的软硬件缺陷、系统集成缺陷等,以及信息安全管理中潜在的薄弱环节,而导致的不同程度的安全风险。

了解了信息安全风险的概念,那么信息安全风险评估就不难理解了。信息安全风险评估是从风险管理的角度,运用科学的手段,系统的分析网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,为防范和化解信息安全风险,或者将风险控制在可以接受的水平,制定有针对性的抵御威胁的防护对策和整改措施以最大限度的保障网络和信息安全提供科学依据。了解了风险评估概念,那就来聊聊如何进行信息安全风险评估这项工作。

下图为一个完整的风险评估流程

图片.png

需要说明的是风向评估的准备工作,风险评估的准备是整个风险评估过程有效性的保证。组织实施风险评估是一种战略性的考虑,其结果将受到组织业务战略、业务流程、安全需求、系统规模和结构等方面的影响。因此,在风险评估实施前,应:

(1)确定风险评估的目标;

(2)确定风险评估的范围;

(3)组建适当的评估管理与实施团队;

(4)进行系统调研;

(5)确定评估依据和方法;

(6)获得最高管理者对风险评估工作的支持。

今天的分享就先到这里,了解一个初步的概念以及流程是至关重要的,毕竟老师可是说过,概念不清,思路不明啊。那么关于风险评估的实施阶段,我们下次再来交流分享。

来源:freebuf.com 2019-03-08 13:41:01 by: 凯信特安全团队

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论