信息安全管理系统风险评估指依据有关管理标准与信息安全技术,对信息系统及传输、存储和处理的信息和机密性、完整性和可用性等安全属性进行评价的过程。
信息安全管理系统风险评估分为四个步骤:
风险评估准备:风险评估的准备过程是进行风险评估的基础,是整个风险评估过程有效性的保证,应确定风险评估的范围,确定风险评估的目的,为风险评估的实施提供导向,建立适当的组织结构,建立系统性的风险评估方法,获得最高管理者对风险评估策划的批准。
风险识别:风险识别是风险管理的第一步,也是风险管理的基础。只有在正确识别出自身所面临的风险的基础上,人们才能够主动选择适当有效的方法进行的处理。
风险评价:在风险识别和风险估测的基础上,对风险发生的概率,损失程度,结合其他因素进行全面考虑,评估发生风险的可能性及危害程度,并与公认的安全指标相比较,以衡量风险的程度,并决定是否需要采取相应的措施的过程。
为风险处理:风险处理是指针对不同类型、不同规模、不同概率的风险,采取相应的对策、措施或方法,使风险损失对企业生产经营活动的影响降到最小限度。
责任编辑:匿名
版权所有:http://www.zyond.cn (致远网安) 转载请注明出处