【摘要】:风险评估以风险主体、风险因素为研究对象。在信息安全风险评估阶段,风险分析人员需要说明威胁和脆弱性产生的条件、发展的轨迹、安全事件发生的概率以及安全事件对信息资产可能造成的危害,目的是在了解风险因素产生、发展和消亡规律以及风险可能发生的时间、地点、概率和方式的基础上,有针对性地、有的放矢地制定风险管理和控制措施,以确保信息系统、信息资产的安全。
4.4.1 正确选择风险评估方法
正确的风险识别是风险评估的基本条件,风险评估是风险识别的必然发展。评估的最终目的是为了实施正确的管理和控制。
风险评估以风险主体、风险因素为研究对象。在信息安全领域中就是以信息系统、信息资产的脆弱性和可能面临的威胁作为研究对象,说明每种风险因素产生、发展和消亡的规律,评估每种风险因素所致的风险事件对风险主体(信息资产)可能造成的损害概率与损害程度。
在信息安全风险评估阶段,风险分析人员需要说明威胁和脆弱性产生的条件、发展的轨迹、安全事件发生的概率以及安全事件对信息资产可能造成的危害,目的是在了解风险因素产生、发展和消亡规律以及风险可能发生的时间、地点、概率和方式的基础上,有针对性地、有的放矢地制定风险管理和控制措施,以确保信息系统、信息资产的安全。
在风险评估和评估方法选择上应考虑到以下几点:
①评估结果只是一个参考值,不可能是一个绝对正确的数学答案,不可能与未来的实际情况完全一致;
②风险评估结果是动态变化的;
③风险评估方法通常是根据风险动态变化的一般规律或数理统计定理而设计的,在风险评估过程中应避免以简单的逻辑推理替代辩证的逻辑思维;
④风险评估方法具有多样性,评估方法的选用取决于评估的意图、对象和条件,风险分析人员应根据具体情况做出选择,风险评估过程中可以多种评估方法综合运用。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。