通过定义可以看出,信息安全风险评估的工具是信息资产,评估过程包含「剖析」和「评价」两个阶段,风险剖析是将信息安全风险要素(资产、威胁、弱点等)识别出来,并且对风险进行梳理与打算;风险评价则是将已经打算出来的风险值,与风险等级定义进行比拟,得出风险的程度(常日是高、中、低)。
前面把信息安全风险评估的定义和过程先容完了,下面对信息安全风险评估的方法大略先容一下。信息安全风险评估从方法上来划分,可以分为定量评估、定性评估、半定量评估三种。
1、定量信息安全风险评估所谓定量评估是试图从数字上对安全风险进行剖析评估的一种方法,采取量化的数值描述影响(估计出可能丢失的金额)和可能性(概率或频率),剖析的有效性取决于所用的数值精确度和完全性。定量风险评估结果是建立在独立客不雅观的程序或量化指标之上的,这样做的优点是可以为本钱效益审核供应精确依据,有利于预算决策。当然定量风险评估也存在方法繁芜、打算量大、投入资源大、费时费力的缺陷。在现实信息安全风险评估中,除个别行业的个别场景外,定量风险评估很少被用到。2、定性信息安全风险评估所谓定性评估也叫专家评价法,是凭借剖析者的履历,或者业界的标准和老例,为风险管理诸要素的大小或高低程度定性分级。定性评估采取笔墨形式或阐述性的数值范围描述风险的影响程度和可能性的大小(如高、中、低等)。定性评估结果高度依赖于评估者的履历和能力,很难客不雅观地跟踪风险管理的效果,并不能为安全方法的本钱效益剖析供应客不雅观依据,对关键资产财务代价评估参考性较低。但定性评估也由于有着打算办法大略,易于理解和实行的优点,在信息安全风险评估被广泛运用。3、半定量信息安全风险评估评估半定量评估则是将定量评估和定性评估进行了一个折中,其优缺陷也介于定量评估和定性评估两者之间。半定量评估可以得到比常日在定性评估中所得到的更为详细的风险程度,但并非可以提出得到在定量剖析中所得到的风险实际值。风险评估不仅仅是信息安全事情的根本,在科技风险管理、IT审计中也有着重要的浸染,本篇仅对信息安全风险评估的定义、过程和方法做了一个简单的先容,后面操持连续几篇秀一下风险评估的实操部分。
