(一)风险评估概述信息系统的风险评估是指确定在计算机系统和网络中每一种资源缺失或遭到破坏对整个系统造成的预计损失数量。
是对威胁、脆弱点以及由此带来的风险大小的评估。
对系统进行风险分析和评估的目的就是:了解系统目前与未来的风险所在,评估这些风险可能带来的安全威胁与影响程度,为安全策略的确定、信息系统的建立及安全运行提供依据。
同时通过第三方权威或者国际机构评估和认证,也给用户提供了信息技术产品和系统可靠性的信心,增强产品、单位的竞争力。
信息系统风险分析和评估是一个复杂的过程,一个完善的信息安全风险评估架构应该具备相应的标准体系、技术体系、组织架构、业务体系和法律法规对系统进行风险分析和评估的目的就是:了解系统目前与未来的风险所在,评估这些风险可能带来的安全威胁与影响程度,为安全策略的确定、信息系统的建立及安全运行提供依据。
同时通过第三方权威或者国际机构评估和认证,也给用户提供了信息技术产品和系统可靠性的信心,增强产品、单位的竞争力。
信息系统风险分析和评估是一个复杂的过程,一个完善的信息安全风险评估架构应该具备相应的标准体系、技术体系、组织架构、业务体系和法律法规(二)国内外发展现状:国外关于信息系统安全风险评估的研究已有20多年的历史,美国、加拿大等IT发达国家于20世纪70年代和80年代建立了国家认证机构和风险评估认证体系,负责研究并开发相关的评估标准、评估认证方法和评估技术,并进行基于评估标准的信息安全评估和认证,目前这些国家与信息系统风险评估相关的标准体系、技术体系、组织架构和业务体系都已经相当成熟[1~5]。
从已经建立了信息安全评估认证体系的有关国家来看,风险评估及认证机构都是由国家的安全、情报、国家标准化等政府主管部门授权建立,以保证评估结果的可信性和认证的权威性、公正性。
我国信息系统风险评估的研究是近几年才起步的,目前主要工作集中于组织架构和业务体系的建立,相应的标准体系和技术体系还处于研究阶段,但随着电子政务、电子商务的蓬勃发展,信息系统风险评估领域和以该领域为基础和前提的信息系统安全工程在我国已经得到政府、军队、企业、科研机构的高度重视,具有广阔的研究和发展空间。
