企业信息安全于风险评估方法的研究.pdfVIP

企些信蛊塞全区险证焦左法煎研究 擅基 摘要 “信息化促进工业化，工业化带动信息化，现代工业化的发展已经完全离不 开信息平台的支撑。然而，作为企业的老总，在深知信息系统存在安全风险的同 时，更想知道其中的主要风险是什么，怎样做才能提高企业信息系统的安全水平。 采用信息系统风险评估可以对企业信息系统的安全状况作出一个客观的评价，依 据评估的结果进行建设，可以做到有的放矢，渐入佳境。在众多的信息系统安全 风险评估方法中，定性和定量是两个主流方法。 定量评估方法更能直观地反映出信息系统的安全水平，深受评估单位的欢迎。 但由于企业，尤其是大企业信息系统广大，人员较多，网络结构和设备繁杂，采 用普通的定量评估方法是不现实的，而采取简单的抽样性评估，结果也是不精确 的。因而急需研究一套适用于企业的信息安全风险评估方法。即信息安全风险评 估企业定量方法。 信息安全风险评估企业定量方法， 就是依据企业，尤其是大型企业的特点， 根据确定的评估内容，评估流程，在众多的信息系统，众多的人员与设备中，采 用分类分别计算比例的方法，合理的选定评估对象，采样数量。同时，依据企业 信息系统中资产价值，威胁性和脆弱性三者之间的函数关系，选取恰当的适合企 业的风险计算数学方法，合理的计算企业信息安全风险评估数值。这对于企业， 尤其是大型企业是很有用的，也是非常有意义的。 本文在对信息安全风险评估企业定量方法研究的同时，给出了应用该方法开 展的企业信息安全风险评估项目实例，即燕山石化公司最近实施的信息安全风险 评估项目。在较为准确地确定了评估对象和采样数量的基础上，实施了信息安全 风险的调研，测试，分析工作， 根据三大元素(资产价值，威胁，脆弱性)的量 化数据和风险计算数学方法得出的风险量化数值，确定了燕山石化公司目前最突 出的急需解决的信息安全风险。 关键词：风险管理， 信息保障， 风险评估 ABSTRACT “Informatization indust promotesr．alizatjon。induslrja¨zatjOndrives ofmodern informatization”．Nowadays，theindustrializationcan’t development dowithoutthe ofinformation support technology awareof thatthere risks enterprise’ClOs。whilebeingfully actually havingsafety ininformation wouldbemore systems，we wanttoknowwhatarethe likely whatmeasuresshouldbetaken risks，and to the Ievelof primary improvesafety information evaluation systems．Riskcould an assessmentto give objective