信息安全風(fēng)險評估是什么？

　　信息安全風(fēng)險管理依據(jù)等級保護(hù)的思想和適度安全的原則，平衡成本與效益，合理部署和利用信息安全的信任體系、監(jiān)控體系和應(yīng)急處理等重要的基礎(chǔ)設(shè)施，確定合適的安全措施，從而確保機(jī)構(gòu)具有完成其使命的信息安全保障能力。

　　信息安全風(fēng)險評估的概念涉及資產(chǎn)、威脅、脆弱性和風(fēng)險4個主要因素。

　　信息安全風(fēng)險評估：識別、評估與應(yīng)對策略：

　　根據(jù)GB/T 20984-2022《信息安全技術(shù) 信息安全風(fēng)險評估方法》，風(fēng)險評估基本要素包括資產(chǎn)、威脅、脆弱性和安全措施并基于以上要素開展風(fēng)險評估。

　　1.資產(chǎn)識別

　　資產(chǎn)識別是風(fēng)險評估的核心環(huán)節(jié)。資產(chǎn)按照層次可劃分為業(yè)務(wù)資產(chǎn)、系統(tǒng)資產(chǎn)、系統(tǒng)組件和單元資產(chǎn)。因此資產(chǎn)識別應(yīng)從三個層次進(jìn)行識別。

　　2.威脅識別

　　威脅識別的內(nèi)容包括威脅的來源、主體、種類、動機(jī)、時機(jī)和頻率

　　3.脆弱性識別

　　如果脆弱性沒有對應(yīng)的威脅,則無需實(shí)施控制措施，但應(yīng)注意并監(jiān)視他們是否發(fā)生變化。相反，如果威脅沒有對應(yīng)的脆弱性,也不會導(dǎo)致風(fēng)險。應(yīng)注意,控制措施的不合理實(shí)施、控制措施故障或控制措施的誤用本身也是脆弱性。控制措施因其運(yùn)行的環(huán)境,可能有效或無效。脆弱性可從技術(shù)和管理兩個方面進(jìn)行審視。技術(shù)脆弱性涉及 IT 環(huán)境的物理層、網(wǎng)絡(luò)層、系統(tǒng)層應(yīng)用層等各個層面的安全問題或隱患。管理脆弱性又可分為技術(shù)管理脆弱性和組織管理脆弱性兩方面,前者與具體技術(shù)活動相關(guān),后者與管理環(huán)境相關(guān)。

　　4.風(fēng)險分析

　　組織應(yīng)在風(fēng)險識別基礎(chǔ)上開展風(fēng)險分析,風(fēng)險分析應(yīng):a)根據(jù)威脅的能力和頻率,以及脆弱性被利用難易程度,計(jì)算安全事件發(fā)生的可能性；b)根據(jù)安全事件造成的影響程度和資產(chǎn)價值，計(jì)算安全事件發(fā)生后對評估對象造成的損失；c)根據(jù)安全事件發(fā)生的可能性以及安全事件發(fā)生后造成的損失,計(jì)算系統(tǒng)資產(chǎn)面臨的風(fēng)險值；d)根據(jù)業(yè)務(wù)所涵蓋的系統(tǒng)資產(chǎn)風(fēng)險值綜合計(jì)算得出業(yè)務(wù)風(fēng)險值。