不计成本、片面地追求绝对安全、试图消灭风险或完 全避免风险是不现实的，也不是需求主导原则所要求的。 坚持从实际出发，坚持需求主导、突出重点，就必须科学 地评估风险，有效控制风险。
信息安全风险评估的意义
4. 重视风险评估是信息化比较发达国家的 基本经验
上个世纪70年代，美国政府就发布了《自动化数据外 理风险评估指南》。其后颁布的关于信息安全基本政策 文件《联邦信息资源安全》明确提出了信息安全风险评 估的要求，要求联邦政府部门依据信息和信息系统所面 临的风险，根据信息丢失、滥用、泄露、未授权访问等 造成损失的大小，制订、实施信息安全计划，以保证信 息和信息系统应有的安全。
1.风险评估是分析确定风险的过程
任何系统的安全性都可以通过风险的大小来衡量。科学 分析系统的安全风险，综合平衡风险和代价的过程就 是风险评估。
信息安全风险评估的意义
2. 信息安全风险评估是信息安全建设的起 点和基础
信息安全风险评估是风险评估理论和方法在信息系统中 的运用，是科学分析理解信息和信息系统在机密性、完整性、 可用性等方面所面临的风险，并在风险的预防、风险的控制、 风险的转移、风险的补偿、风险的分散等之间作出决策的过 程。
信息安全风险评估方法
风险评估的准备
资产识别 威胁识别 脆弱性识别 设计解决方案 项目规划
风险评估的准备
风险评估的准备
确定范围
范围可能是组织全部的信息和信息系统，可能是单独的信息系统，可 能是组织的关键业务流程，也可能是客户的知识产权。
确定目标
目标基本上来源于组织业务持续发展的需要、满足相关方的要求、满 足法律法规的要求等方面。
对信息安全风险评估的思考
上海上讯信息系统工程有限公司
安全咨询事业部
黄永飞
安全咨询顾问
问题思考
风险评估
信息安全风险评估
What ? Why ? How ?
问题思考
信息安全风险评估
What
信息安全风险评估是什么？
信息系统的安全风险是指由于系统存在的
脆弱性，人为或自然的威胁导致安全事件发生的 可能性及其造成的影响。
安全风险评估是什么？
人们经常会提出这样一些问题：
什么地方、什么时间可能出问题？ 出问题的可能性有多大？ 这些问题的后果是什么？ 应该采取什么样的措施加以避免和弥补？
总是试图找出最合理的答案，这一过程实际上就是风险评 估。早在上个世纪初期，科学家就已开始研究风险管理 理论。
问题思考
信息安全风险评估的意义
所有信息安全建设都应该是基于信息安全风险评估， 只有在正确地、全面地理解风险后，才能在控制风险、减 少风险、转移风险之间作出正确的判断，决定调动多少资 源、以什么的代价、采取什么样的应对措施去化解、控制 风险。
信息安全风险评估的意义
3. 信息安全风险评估是需求主导和突出重 点原则的具体体现
信息安全风险评估的意义
英国标准化协会（BSI）1995年颁布了《信息安全 管理指南》（BS 7799），BS 7799分为两个部分： BS 7799-1《信息安全管理实施规则》和BS 7799-2 《信息安全管理体系规范》。2002年又颁布了《信息安全管 理系统规范说明》（BS 7799-2:2002）。它将信息安全管理 的有关问题划分成了10个控制要项、36 个控制目标和127 个控制措施。目前，在BS77992中，提出了如何了建立信息 安全管理体系的步骤。
险和所需的安全保障措施
为决策和政策考虑提供不同的解决方案，使信息科技安
全管理能够从策略性的层面推行Βιβλιοθήκη 日后比较信息科技安全措施的变化提供依据
问题思考
信息安全风险评估
How
问题思考
1. 信息安全风险评估怎么实施？ 2. 信息安全风险评估实施前需要准备什么？ 3. 信息资产的属性怎么进行量化？ 4. 发现信息资产的弱点后怎么进行补救?
否更多的节约投入成本？ 。。。。。。。。。。。。。。。。。。。。。。。。。
信息安全风险评估的意义
1. 风险评估是分析确定风险的过程 2. 信息安全风险评估是信息安全建设的起点和基础 3. 信息安全风险评估是需求主导和突出重点原则的具体体现 4. 重视风险评估是信息化比较发达国家的基本经验
信息安全风险评估的意义
确定组织结构
组织结构的建立应考虑其结构和复杂程度，以保证能够满足风险评估 的范围、目标。
风险评估的准备(续）
确定方法
应考虑评估的范围、目的、时间、效果、组织文化、人员素质以及具 体开展的程度等因素来确定，使之能够与组织的环境和安全要求相适 应。
获得最高管理者批准
如果说信息安全建设必须从实际出发，坚持需求主导、 突出重点，则风险评估（需求分析）就是这一原则在实际工 作中的重要体现。从理论上讲风险总是客观存在的。安全是 安全风险与安全建设管理代价的综合平衡。
信息安全风险评估的意义
不考虑风险的信息化是要付出代价 有时代价可能很高，甚至难以承受
信息安全风险评估的意义
在信息安全管理体系的核心部位是风险评估和风险管理。目 前，全球通过BS7799认证的数量达450家左右，其中绝大部 分分布在欧洲和亚洲，整个中国地区（包括香港和台湾在内） 通过BS7799认证的数量近20家。
信息安全风险评估的意义-总结
为用户提供具有针对性的安全产品和安全技术 给用户提供量化的信息资产价值列表和资产风险列表 可全面和有条理地向管理层反映现有的信息科技安全风
信息安全风险评估
Why
问题思考
1. “三分技术，七分管理”，我们的员工安全意识如何？ 2. 依靠现有的安全产品是否能够解决现在的安全问题？ 3. 现有的安全产品是否真正的起到了作用？ 4. 如果发生安全事故，我们能否在最短时间内恢复业务系统？ 5. 对未来的网络扩展和安全配置升级有没有前瞻性的规划？能
信息安全风险评估就是从风险管理角度，运用科学的
分析方法和手段，系统地分析信息化业务和信息系统所面临 的人为和自然的威胁及其存在的脆弱性，评估安全事件一旦 发生可能造成的危害程度，提出有针对性的抵御威胁的防护 对策和整改措施，以防范和化解风险，或者将残余风险控制 在可接受的水平，从而最大限度地保障网络与信息安全。