信息系统安全风险评估方法分析研究.docVIP

信息系统安全风险评估方法分析研究 　　[摘要]风险评估在信息安全保障体系建设中起着极其重要的作用，是组织开展基于风险管理的基础，它贯穿于信息系统的整个生命周期。文章分析了信息系统整个生命周期过程中的四个阶段风险评估方法，重点提出了在运行和维护过程中确定评估对象后采用基于知识的定性分析方法进行风险评估，全生命周期的风险评估是信息系统纵深防御和持续改进的风险评估方法。 　　[关键词]信息系统；风险评估；基于知识的定性分析；风险管理 　　中图分类号：F062.5 文献标识码：A 文章编号：1009-914X（2013）06-0100-02 　　随着计算机信息系统在各军工企业的科研、生产和管理的过程中发挥巨大作用，部分单位提出了军工数字化设计、数字化制造、异地协同设计与制造等概念，并开展了ERP、MES2～PDM等系统的应用与研究。这些信息系统涉及大量的国家秘密和企业的商业秘密，是军工企业最重要的工作环境。因此各单位在信息系统规划与设计、工程施工、运行和维护、系统报废的过程中如何有效的开展信息系统的风险评估是极为重要的。 　　一、风险评估在信息安全管理体系中的作用 　　信息安全风险评估是指依据国家风险评估有关管理要求和技术标准，对信息系统及由其存储、处理和传输的信息的机密性、完整性和可用性等安全属性进行科学、公正的综合评价的过程。风险评估是组织内开展基于风险管理的基础，它贯穿信