安全风险评估从风险管理角度,根据相关标准规范,分析资产情况和威胁来源,全面考虑系统所存在的运行风险,评估安全事件发生可能造成的危害程度,并提出有针对性的抵御威胁的防护对策和整改措施。评估主要内容包括:物理环境、网络及系统设备、应用系统、信息安全管理制度、应急响应能力等安全性评估。
基于全面的风险评估,能够准确了解企业信息安全现状,明晰信息安全需求。基于风险评估结果,可以针对性的制定信息系统安全策略和风险解决方案。风险评估结合技术与管理,指导客户对未来的信息安全有规划的建设和投入,高效建立适合客户自身的信息安全管理框架。
系统地评估资产各种风险事件发生的概率大小、概率分布,及发生后损失的严重程度。帮助区分主要风险和次要风险。
正确反映各风险对信息安全的不同影 响,使规划的结果更合理可靠,使在 此基础上制定的计划具有现实的可行 性。
风险对策会付出一定代价,需将不同 风险对策的适用性与不同风险的后果 结合考虑,使不同风险选择适宜的风 险对策,形成佳风险对策组合。