信息安全风险评估实施及建议容易

一、信息安全风险评估的重大意义

开展信息安全风险评估的意义重大，可以科学地分析和理解信息系统在保密性、完整性、可用性等方面的问题，明确信息系统的安全风险，可以准确地了解信息系统的安全现状。便于明确，制定避免、降低、接受等风险处置措施，是分级防护和突出重点的具体体现。

二、信息安全风险评估的实施

信息安全风险评估以自评为主，对自身的信息系统进行安全风险的识别、评价，发现系统现有弱点，进一步选择合适的控制措施、实施安全管理。另外，检查评估可以对自评估的实施过程、风险计算方法、评估结果等重要环节或重点内容进行分析、实施抽样评估，依据评估指南的要求实施完整的风险评估。

信息安全风险评估过程中，可以利用一些辅助性的工具和方法来采集数据，帮助完成现状分析和趋势判断。脆弱性扫描工具是目前应用最广泛的信息安全风险评估工具，常见的脆弱性扫描工具主要有基于络的扫描器、基于主机的扫描器、分布式络扫描器、数据库脆弱性扫描器等。风险评估工具作为风险评估的辅助手段，将专家知识经验集中并得到广泛应用，保证风险评估结果可信度，一定程度上解决人工评估的局限性。

风险评估实施过程流程图如图1所示。

三、信息安全风险评估实施的建议

(一)风险评估应该得到管理层的认同、关注和支持，风险评估的流程及方法能够与组织文化及员工素质相适应，并且要向评估范围所覆盖的部门及人员进行沟通，充分保证风险评估工作的顺利开展。

进行风险评估时应建立适当的组织结构，如成立由领导小组、相关业务组、技术组等组成的风险评估小组，针对风险评估范围及目标开展评估工作。同时要遵守相关的法律法规，承担相应的与义务。

(二)实施风险评估应首先确定评估范围，可以依据组织的业务流程、信息资产、地理范围三个方面来进行界定。

如果中国真把美国的军事机密和技术都窃取了 通过范围、目的、员工素质以及具体开展的程度等因素来确定具体的评估方法，适应相应的评估工作，保障整个评估工作实现预期目的。另外，还需要选择与评估方法相适应的评估工具。

总之，信息安全风险是信息化时代各组织亟待解决的问题，风险管理水平的提高是保障组织健康、稳定发展的关键。风险评估作为风险管理的基础和起点，对有效识别风险，通过风险管理规避风险，提高风险管理的效率，起到重要的作用。