风险评估

信息安全风险评估

信息安全风险评估是参照风险评估标准和管理规范,对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析,判断安全事件发生的概率以及可能造成的损失,提出风险管理措施的过程。当风险评估应用于IT领域时,就是对信息安全的风险评估。

规划阶段的风险评估

识别系统的业务战略,以支撑系统安全需求及安全战略

设计阶段的风险评估

根据规划阶段所明确的系统运行环境、资产重要性,提出安全功能需求,对设计方案中所提供的安全功能符合性进行判断,作为采购过程风险控制的依据。

实施阶段的风险评估

根据系统安全需求和运行环境对系统开发、实施过程进行风险识别,并对系统建成后的安全功能进行验证,根据设计阶段分析的威胁和制定的安全措施,在实施及验收时进行质量控制。

运行维护阶段的风险评估

了解和控制运行过程中的安全风险,包括对真实运行的信息系统、资产、威胁、脆弱性等方面。

废弃阶段的风险评估

当信息系统不能满足现有要求时,信息系统进入废弃阶段,根据废弃的程度,分为部分废弃和全部废弃。