信息安果全风险评估探讨.docVIP

信息安全风险评估探讨 文章对企业信息安全需求进行了分析，通过对信息安全管理标准BS7799描述，分析了其风险管理各要素间的关系，并定义了一种风险评估的基本流程，在此基础上构建了一种适于企业的风险分析法。 现代企业的成功发展主要以企业的各项经营活动健康运作为基础，健康的经营运作又以企业信息化高度发展作为保障基础，其信息化的水平主要体现在企业的信息化系统是否能够稳定而有效地运转。信息化系统的有效运行依赖于其运行环境、硬件设备以及在其上流动的信息数据及其安全，因此企业有必要将信息视为重要资产，并采取安全措施加以严格保护。 1 企业信息安全的需求 企业往往会根据自身需求来确定所需要保护的信息资产的范围和这类资料的受保护程度，而这些需求，一般来源于如下方面： 1．1 企业自身的原则、目标和规定方面 企业从自身业务和经营管理的需求出发，必然会在信息技术方面提出一些卓有远见的方针、目标、原则和要求，以此明确自己的信息安全要求，确保企业支撑业务以及相关内容运作的信息处理活动的安全性。 1.2 企业在法律、法规方面 法律法规通常包括国际法律、国家法律、各部委和地方的规范性文件或者规章。企业只需要关注与自身相关的法律或规范性文件，尤其应重视与信息化和信息安全相关的部分，因为国家所规定的与企业信息安全相关的法律法规是企业必须遵循的强制性法规，企业应将此部分转化为企业的信息安全需求。此外，企业还要必须考虑