一���、信息安全風險評估的基本概念
信息系統(tǒng)的安全風險,是指由于系統(tǒng)存在的脆弱性�,人為或自然的威脅導致安全事件發(fā)生的可能性及其造成的影響。信息安全風險評估是指依據(jù)國家有關(guān)信息安全標準�����,對信息系統(tǒng)及由其處理��、傳輸和存儲的信息的保密性��、完整性和可用性等安全屬性進行科學評價的過程���,它要評估信息系統(tǒng)面臨的威脅以及脆弱性被威脅源利用后安全事件發(fā)生的可能性�,并結(jié)合資產(chǎn)的重要程度來識別信息系統(tǒng)的安全風險����。信息安全風險評估就是從風險管理角度���,運用科學的分析方法和手段���,系統(tǒng)地分析信息化業(yè)務(wù)和信息系統(tǒng)所面臨的人為和自然的威脅及其存在的脆弱性�����,評估安全事件一旦發(fā)生可能造成的危害程度�,提出有針對性的抵御威脅的防護對策和整改措施���,以防范和化解風險�,或者將殘余風險控制在可接受的水平�,從而最大限度地保障網(wǎng)絡(luò)與信息安全。
二����、信息安全風險評估各要素之間的關(guān)系
