网络与信息安全风险评估报告.docVIP

目录 1.风险评估概述 2 2.信息安全风险评估指标体系概述 3 2.1信息安全风险评估的工作过程 3 2.2风险评估具体思路与流程 4 3.国内外安全标准介绍 6 3.1 CC 标准 7 3.2 BS7799(ISO/IEC17799) 7 3.3 ISO/IEC 21827:2002(SSE-CMM) 7 3.4 我国国家标准 GB17859 8 4 风险评估方法 8 5.风险评估工具 9 5.1辅助性的工具和方法 9 5.2自动化风险评估工具 10 6.总结 11 1.风险评估概述 风险评估（Risk Assessment） 是指，在风险事件发生之前或之后（但还没有结束），该事件给人们的生活、生命、财产等各个方面造成的影响和损失的可能性进行量化评估的工作。即，风险评估就是量化测评某一事件或事物带来的影响或损失的可能程度。 从信息安全的角度来讲，风险评估是对信息资产（即某事件或事物所具有的信息集）所面临的威胁、存在的弱点、造成的影响，以及三者综合作用所带来风险的可能性的评估。作为风险管理的基础，风险评估是组织确定信息安全需求的一个重要途径，属于组织信息安全管理体系策划的过程。对系统进行风险分析和评估的目的就是了解系统目前与未来的风险所在评估这些风险可能带来的安全威胁与影响程度为安全策略的确定信息系统的建立及安全运行提供依据同时通过第三方权威或者国际机构评估和认证也