第5章 信息安全风险评估实施流程5.1 风险评估的准备 5.2 资产识别 5.3 脆弱性识别 5.4 已有安全措施确认5.5 风险分析5.6 风险处理计划5.7 风险评估文件记录5.8 本章作业信息安全风险评估实施流程 信息安全风险评估是从风险管理角度,运用科学的方法和手段,系统地分析网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,为防范和化解信息安全风险,或者将风险控制在可以接受的水平,制定针对性的抵御威胁的防护对策和整改措施以最大限度地保障网络和信息安全提供科学依据。 在信息化建设中,各类应用系统及其赖以运用的基础网络、处理的数据和信息是业务实现的保障,由于其可能存在软硬件设备缺陷、系统集成缺陷等,以及信息安全管理中潜在的薄弱环节,都将导致不同程度的安全风险。信息安全风险评估可以不断地、深入地发现信息系统建设、运行、管理中的安全隐患,并为增强安全性提供有效建议,以便采取更加经济、更加有力的安全保障措施,提高信息安全的科学管理水平,进而全面提升网络与信息系统的安全保障能力。 信息安全风险评估在具体实施中一般包括风险评估的准备活动,对信息系统资产安全
