第13章 息安全风险评估.pptVIP

第11章 信息安全风险评估 李 剑 北京邮电大学信息安全中心 E-mail: lijian@bupt.edu.cn 010目 录 风险评估管理概述 风险评估方法 风险评估 当前，无论是政府还是企业，对于自身的信息安全都非常重视。因此，企业信息安全风险评估再一次引起了业界的关注。 13.1 风险评估概述 13.1.1 风险的概念 风险(Risk)指在某一特定环境下，在某一特定时间段内，特定的威胁利用资产的一种或一组薄弱点，导致资产的丢失或损害的潜在可能性，即特定威胁事件发生的可能性与后果的结合。ISO 27001要求组织通过风险评估来识别组织的潜在风险及其大小，并按照风险的大小安排控制措施的优先等级。 13.1.2 风险评估的概念 风险评估 (Risk Assessment)有时候也称为风险分析，是组织使用适当的风险评估工具，对信息和信息处理设施的威胁(Threat)、影响(Impact)和薄弱点(Vulnerability)及其发生的可能性的评估，也就是确认安全风险及其大小的过程。 风险评估是信息安全管理的基础，它为安全管理的后续工作提供方向和依据，后续工作的优先等级和关注程度都是由信息安全风险决定的，而且安全控制的效果也必须通过对剩余风险的评估来衡量。 13.1.2 风险评估的概念 风险评估是在