风险评估与安全需求的关系--赵力.doc

风险评估与安全需求的关系 卫士通信息产业股份有限公司技术发展部 赵力 摘要：本文描述风险评估和安全需求在系统安全构建过程中的关系，提出从风险评估得出安全需求过程中的方法与要点。 关键字：风险评估，风险管理，安全需求，信息安全。 一、系统安全构建过程 信息安全可以通过风险评估和风险管理来实现。风险评估是确定系统中各种资产，核实资产存在的安全风险，并确定其规模大小的过程；而风险管理是综合考虑各方面的因素形成系统的安全需求，根据安全需求选择安全控制来降低风险，并通过评估确定安全控制的有效性的过程。风险评估的对象可以针对一个复杂的IT系统，也可是针对系统中一个部分。 下图显示包括风险评估和风险管理在内