文档介绍:浅谈企业信息安全风险评估
 
 
作者简介:王子标(1983—),男,安徽亳州人,亳州职业技术学院信息工程系,助教,硕士,研究方向:计算机网络安全。
刘秀艳(1981—),女,安徽亳州人,亳州市牛集镇中心中学,中教二级,研究 
 
浅谈企业信息安全风险评估
 
 
作者简介:王子标(1983—),男,安徽亳州人,亳州职业技术学院信息工程系,助教,硕士,研究方向:计算机网络安全。
刘秀艳(1981—),女,安徽亳州人,亳州市牛集镇中心中学,中教二级,研究方向:物理教育。
浅谈企业信息安全风险评估
王子标1,刘秀艳2
( 信息工程系,安徽 亳州 236800;
,安徽 亳州 236823)
Summary:随着计算机技术和通信技术的高速发展,国民经济和社会发展对信息系统的依赖性越来越高,对于一个企业来讲也是如此。本文简要分析了安徽亳州本地的中药企业的信息安全需求,通过对国际信息安全管理标准体系BS7799的描述,分析了风险管理各要素之间的关系,说明了风险评估的基本流程,最后总结了一种适用于现代企业风险评估的分析方法。
Keys:信息安全;风险评估;故障树分析法
F270:A:1671—1580(2013)08—0145—02
随着计算机技术及通信技术的飞速发展,关系到国家经济和人民生活的重要信息资源的规模日益扩大,同时,用来处理这些信息的系统也变得越来越复杂,信息资源、信息系统的安全性就显得越来越重要了。
一、企业信息安全需求的确定
确定一个企业信息安全需求的最主要途径之一就是对信息安全作风险评估,企业对信息资产的保护措施或控制方式也要根据风险评估的结果来制定。通过繁杂而辛苦的评估活动得出的风险评估结论,有助于企业了解并掌握企业自身信息资产的安全状况,有助于企业找出自身资产存在的问题,通过对这些潜在问题的进一步分析,确定企业的安全需求。
信息安全风险评估工作是围绕其基本要素展开的。一般情况下,造成信息安全事件的原因可归结为两个,一个就是外在的威胁,一个就是信息系统自身的脆弱性。所以,安全事件发生的可能性值可以通过对信息的威胁和脆弱性评估来获得。同时,事件发生所产生的影响与信息资产有很大关系,所以可通过对资产的评估来获得。由此可得出信息系统安全风险与信息资产、威胁、脆弱性以及安全措施等相关因素有关这一结论。如图1-1,反映了安全风险及各要素之间的关系,企业进行信息安全风险管理,一般是按照这种关系作为理论基础与评估出发点的。
二、企业进行信息安全风险评估的一般流程
一般企业在进行风险评估工作之前,通常会产生一个比如评估小组的组织,组织成员由企业各部门代表组成,并负责与自己部门有关的评估工作,同时大家
一起讨论评估工作中出现的一些共性话题。整个评估工作的事务总结及各组之间组员的协调由组长来完成。在进行正式评估工作前,企业运作流程是怎样的、安全需求有哪些等问题需要各工作人员了解并熟悉,信息安全管理相关的基本知识及风险评估的基本方法和技巧也是评估工作所有参与人员必须熟练掌握的。风险评估的主要内容是在充分识别各因素的基础上,综合考虑各要素间的关联性,重现实际或潜在的威胁场景,分析确定可能造成的影响及造成后果的可能性,从而确定风险的存在及大小,为风险控制提供