幾種風(fēng)險(xiǎn)評(píng)估方法在信息安全管理中的對(duì)比

王德正

（上海觀樂(lè)信息技術(shù)有限公司，上海 201210）

一、企業(yè)信息安全評(píng)估的內(nèi)容

1.評(píng)估企業(yè)的管理制度

企業(yè)信息安全評(píng)估在實(shí)施過(guò)程中需要評(píng)估企業(yè)的管理制度掌握企業(yè)管理制度的基本情況，分析企業(yè)管理制度的完善情況和企業(yè)管理制度的落實(shí)情況，保證企業(yè)管理制度在制度的完善性、有效性以及制度的針對(duì)性方面達(dá)標(biāo)，并根據(jù)企業(yè)的基本情況推動(dòng)企業(yè)管理工作的有效落實(shí)。通過(guò)對(duì)企業(yè)管理制度的有效評(píng)估能夠衡量企業(yè)管理制度對(duì)企業(yè)管理工作的支撐力度和工作特點(diǎn)，對(duì)分析企業(yè)管理工作效果以及判斷企業(yè)管理工作是否具有代表性具有重要意義。

2.企業(yè)信息系統(tǒng)計(jì)算機(jī)安全評(píng)估

在企業(yè)信息安全評(píng)估過(guò)程中企業(yè)信息系統(tǒng)計(jì)算機(jī)安全評(píng)估是重要的評(píng)估內(nèi)容，在評(píng)估過(guò)程中能夠根據(jù)評(píng)估的要求、評(píng)估的特點(diǎn)以及評(píng)估的具體狀況做好評(píng)估工作，并圍繞計(jì)算機(jī)安全評(píng)估的具體情況調(diào)整評(píng)估措施。企業(yè)信息系統(tǒng)計(jì)算機(jī)安全評(píng)估作為重要的評(píng)估內(nèi)容，在評(píng)估過(guò)程中需要掌握企業(yè)計(jì)算機(jī)的安全狀況，分析企業(yè)計(jì)算機(jī)運(yùn)行條件以及企業(yè)計(jì)算機(jī)在運(yùn)行過(guò)程中的特點(diǎn)，使企業(yè)信息系統(tǒng)計(jì)算機(jī)安全評(píng)估在實(shí)施過(guò)程中能夠圍繞企業(yè)自有的信息系統(tǒng)以及企業(yè)的管理實(shí)際做好信息系統(tǒng)的評(píng)估工作，使企業(yè)在信息安全評(píng)估過(guò)程中能夠找到評(píng)估的側(cè)重點(diǎn)，為企業(yè)的信息安全評(píng)估提供必要支持。結(jié)合企業(yè)信息安全評(píng)估的實(shí)際以及評(píng)估的具體內(nèi)容，在評(píng)估過(guò)程中既要圍繞企業(yè)安全評(píng)估的具體形式做好評(píng)估工作，同時(shí)也要根據(jù)信息安全評(píng)估的內(nèi)容和信息安全評(píng)估的實(shí)際要求做好管理工作的完善，使企業(yè)信息安全評(píng)估在實(shí)施過(guò)程中能夠提高代表性，為企業(yè)信息安全評(píng)估奠定良好的基礎(chǔ)。

二、企業(yè)信息安全風(fēng)險(xiǎn)定量評(píng)估方法

1.企業(yè)信息安全估價(jià)的描述方法

1.1 信息保密性的評(píng)定標(biāo)準(zhǔn)。中風(fēng)險(xiǎn)的定量評(píng)估方法至關(guān)重要，對(duì)信息安全評(píng)估的實(shí)施和評(píng)估效果的提升具有重要影響。在企業(yè)信息安全估價(jià)的描述過(guò)程中采取的描述方法較多，其中信息保密性的評(píng)價(jià)標(biāo)準(zhǔn)較為特殊，主要分為信息的高等級(jí)保密、信息的一般等級(jí)保密和信息的低層次保密，在保密評(píng)定標(biāo)準(zhǔn)的落實(shí)過(guò)程中既要根據(jù)評(píng)定的要求和特點(diǎn)做好評(píng)定工作。同時(shí)也要圍繞評(píng)定的具體條件和評(píng)定的特征做好評(píng)定工作，使系統(tǒng)安全評(píng)定能夠達(dá)到評(píng)定目標(biāo)，圍繞評(píng)定的具體情況和具體的內(nèi)容、要求做好評(píng)定工作，使系統(tǒng)在評(píng)定中能夠在信息保密性和評(píng)定標(biāo)準(zhǔn)的科學(xué)性方面達(dá)到評(píng)定要求。

1.2 信息完整性的評(píng)定標(biāo)準(zhǔn)。在企業(yè)信息安全評(píng)價(jià)過(guò)程中信息完整性的評(píng)定標(biāo)準(zhǔn)至關(guān)重要，掌握信息完整性的評(píng)定標(biāo)準(zhǔn)，對(duì)提高信息安全評(píng)價(jià)效果具有重要影響。從目前信息完整性的評(píng)定標(biāo)準(zhǔn)來(lái)看，既包括評(píng)定標(biāo)準(zhǔn)的等級(jí)，同時(shí)也包括評(píng)定標(biāo)準(zhǔn)的細(xì)節(jié)在信息中的完整性，在評(píng)定標(biāo)準(zhǔn)劃分過(guò)程中既要了解評(píng)定標(biāo)準(zhǔn)的具體情況，也要根據(jù)信息評(píng)定標(biāo)準(zhǔn)實(shí)際內(nèi)容以及信息評(píng)定標(biāo)準(zhǔn)的細(xì)節(jié)做好評(píng)定工作，保證信息評(píng)定標(biāo)準(zhǔn)在劃分和實(shí)施過(guò)程中能夠達(dá)到評(píng)價(jià)要求，為信息評(píng)定標(biāo)準(zhǔn)的建立和完善提供幫助和支持。信息安全評(píng)價(jià)既要關(guān)注信息安全本身，同時(shí)也要在信息完整性的評(píng)價(jià)方面下功夫，信息安全評(píng)價(jià)在實(shí)施過(guò)程中達(dá)到評(píng)價(jià)要求，解決評(píng)價(jià)過(guò)程中的信息完整性問(wèn)題，使信息安全評(píng)價(jià)在評(píng)定標(biāo)準(zhǔn)的全面性和評(píng)定標(biāo)準(zhǔn)的有效性以及評(píng)定標(biāo)準(zhǔn)的實(shí)施過(guò)程中達(dá)到評(píng)定要求。圍繞信息安全評(píng)定的要求和具體內(nèi)容，在評(píng)定過(guò)程中既要了解評(píng)定的實(shí)際情況，同時(shí)也要根據(jù)評(píng)定的具體內(nèi)容細(xì)化評(píng)定標(biāo)準(zhǔn)，使信息完整性的評(píng)定標(biāo)準(zhǔn)能夠達(dá)到評(píng)價(jià)要求，圍繞信息安全評(píng)價(jià)的具體情況以及評(píng)價(jià)的實(shí)施要點(diǎn)，在評(píng)定標(biāo)準(zhǔn)的掌握方面需要以信息安全評(píng)價(jià)的實(shí)際需求為出發(fā)點(diǎn)，確保信息完整性評(píng)價(jià)達(dá)到評(píng)價(jià)要求。

2.企業(yè)信息安全威脅程度的量化方法

企業(yè)信息安全的威脅通常定義為潛在的破壞性因素或突發(fā)事件。威脅是客觀存在的，既可能來(lái)自于系統(tǒng)的用戶（合法用戶或非法入侵）操作，也可能來(lái)自系統(tǒng)的物理組件的損壞。

企業(yè)在信息安全威脅程度的量化過(guò)程中選擇的安全威脅程度、量化方法對(duì)衡量信息安全程度以及提高信息安全評(píng)價(jià)效果具有重要影響。在企業(yè)信息安全威脅程度的量化過(guò)程中，既要關(guān)注信息量化的標(biāo)準(zhǔn)，同時(shí)也要關(guān)注信息量化的具體情況，根據(jù)信息量化的具體內(nèi)容和信息量化的要求做好量化分析工作。結(jié)合企業(yè)信息安全評(píng)價(jià)工作的要求和具體內(nèi)容，在信息安全評(píng)價(jià)過(guò)程中要圍繞信息安全評(píng)價(jià)的具體情況做好分析工作。

3.信息系統(tǒng)脆弱性的量化方法

信息系統(tǒng)脆弱性的評(píng)估和系統(tǒng)面臨的威脅是緊密相關(guān)的，所有的實(shí)際威脅都是利用系統(tǒng)安全的薄弱環(huán)節(jié)來(lái)發(fā)揮破壞性作用的。信息系統(tǒng)脆弱性的量化方法在評(píng)價(jià)過(guò)程中具有重要影響，掌握信息系統(tǒng)脆弱性的量化方法對(duì)提高評(píng)價(jià)效果和滿足評(píng)價(jià)要求具有重要影響。結(jié)合信息系統(tǒng)脆弱性的量化評(píng)價(jià)實(shí)際，在評(píng)價(jià)過(guò)程中能夠根據(jù)評(píng)價(jià)的特點(diǎn)和要求以及評(píng)價(jià)的具體實(shí)施需要做好評(píng)價(jià)方法的優(yōu)選，使評(píng)價(jià)方法在應(yīng)用過(guò)程中達(dá)到應(yīng)用要求滿足應(yīng)用實(shí)際，解決信息系統(tǒng)脆弱性的量化分析問(wèn)題，使信息系統(tǒng)在脆弱性量化分析過(guò)程中能夠達(dá)到分析目標(biāo)。

結(jié)語(yǔ)

通過(guò)對(duì)企業(yè)信息安全評(píng)價(jià)工作的了解，在信息安全評(píng)價(jià)工作中既要了解安全評(píng)價(jià)的重要性，同時(shí)也要分析和判斷安全評(píng)價(jià)工作的實(shí)施效果，使信息安全評(píng)價(jià)工作在實(shí)施過(guò)程中能夠達(dá)到評(píng)價(jià)要求。圍繞評(píng)價(jià)的具體情況制定科學(xué)的評(píng)價(jià)措施，并采取正確的評(píng)價(jià)方法解決評(píng)價(jià)過(guò)程中存在的問(wèn)題，使信息安全評(píng)價(jià)工作在實(shí)施環(huán)節(jié)能夠取得實(shí)效，并根據(jù)信息安全評(píng)價(jià)工作的特點(diǎn)制定有效的工作措施，推動(dòng)企業(yè)信息安全評(píng)價(jià)工作的落地實(shí)施。所以，了解企業(yè)信息安全評(píng)價(jià)工作特征，并做好信息安全評(píng)價(jià)工作，對(duì)提高企業(yè)信息安全質(zhì)量和滿足企業(yè)信息安全管理要求具有重要影響。