风险评估与风险管理的概念
添加时间:2014-06-19 19:14:59
风险评估 (Risk Assessment):有时候也称为风险分析,是组织使用适当的风险评估工具,对信息和信息处理设施的威胁(Threat)、影响(Impact)和薄弱点(Vulnerability)及其发生的可能性的评估,也就是确认安全风险及其大小的过程。
风险评估是信息安全管理的基础,它为安全管理的后续工作提供方向和依据,后续工作的优先等级和关注程度都是由信息安全风险决定的,而且安全控制的效果也必须通过对剩余风险的评估来衡量。
风险管理是信息安全管理体系建立的基础。完整的风险管理包括资产识别、资产估值、风险分析、风险评价、风险处理和剩余风险评估等过程,这些过程需要处理大量的数据,而资产、资产属性、威胁、薄弱点、事件的影响、发生的可能性、控制措施等风险评估要素随着评估过程、沟通过程、监视和评审过程、重复的评估过程而不断变化,需要不断的重复的进行大量的数据处理。风险评估是一把双刃剑,组织可以通过风险评估,发现风险,进而控制风险。但是,风险评估结果本身对组织也是一项威胁,如果保管不当,被泄漏出去,则攻击者将全面了解组织的风险所在,可以发起有的放矢的攻击。因此,必须妥善保护风险评估的结果。传统的风险评估一般利用Excel表格来完成,非常容易被利用E-mail,U盘等媒体传递,造成风险。
风险管理(Risk Management):以可接受的费用识别、控制、降低或消除可能影响信息系统的安全风险的过程。风险管理通过风险评估来识别风险大小,通过制定信息安全方针,选择适当的控制目标与控制方式使风险得到避免、转移或降至一个可被接受的水平。在风险管理方面应考虑控制费用与风险之间的平衡。
在风险评估和风险管理方法被应用的过程中,评估时间、力度以及具体开展的深度应与组织的环境和安全要求相称。按照风险评估的深度,风险评估方法可分为:
□ 基本的风险评估方法:对组织所面临的风险全部采用统一、简单的方法进行评估分析并确定一个安全标准,这种方法仅适用于规模小、流程简单、信息安全要求不是很高的组织;
□ 详细的风险评估方法:对信息系统中所有的部分都进行详细的评估分析;
□ 联合的风险评估方法:先鉴定出一个信息系统中的高风险、关键、敏感部分进行详细的评估分析,然后对其他的部分采取基本的评估分析。