文档介绍：中小企业信息安全风险评估

信息安全风险评估是参照风险评估标准和管理规范,对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析,判断安全事件发生的概率以及可能造成的损失,提出风险管理措施的过程。当风险评估应用于IT领域时,就是对信息安全的风险评估。
风险评估从早期简单的***、人工审计、渗透性测试这种类型的纯技术操作,逐渐过渡到目前普遍采用国际标准的ISO/IEC 27001系列、国家标准《信息系统安全等级评测准则》等方法,充分体现以资产为出发点、以威胁为触发因素、以技术/管理/运行等方面存在的脆弱性为诱因的信息安全风险评估综合方法及操作模型。
风险评估的目的是全面、准确的了解组织机构的网络安全现状,发现系统的安全问题及其可能的危害,为系统最终安全需求的提出提供依据。准确了解组织的网络和系统安全现状。具有以下目的:
² 找出目前的安全策略和实际需求的差距
² 获得目前信息系统的安全状态
² 为制定组织的安全策略提供依据
² 提供组织网络和系统的安全解决方案
² 为组织未来的安全建设和投入提供客观数据
² 为组织安全体系建设提供详实依据
此外还可以通过选择可靠的安全产品通过合理步骤制定适合具体情况的安全策略及其管理规范,为建立全面的安全防护层次提供了一套完整、规范的指导模型