基于BS7799标准风险评价实施性研究-计算机应用研究.PDF

·42 · 计算机应用研究 2005 年 * 基于 BS7799 标准风险评估实施性研究 1 1, 2 2 李 杨 , 聂晓伟 , 杨鼎才 ( 1. 北京电子科技学院 通信工程系, 北京 100070; 2. 燕山大学 信息科学与工程学院, 河北 秦皇岛 066004) 摘 要: 英国信息安全管理标准 BS7799 是很有代表性的国际风险评估标准 , 在深入分析 BS7799 标准的基础 上, 探讨了基于该标准的风险评估流程和在该流程下风险评估工具的研制, 力求做到对 BS7799 科学、有效的实 施。 关键词: 风险评估; BS7799; 评估流程 ; 评估工具 中图法分类号: TP393 文献标识码 : A 文章编号 : 1001- 3695( 2005) 07- 0042- 03 Research on Risk Assessment Implementation Based on BS7799 1 1, 2 2 LI Yang , NIE Xiao-wei , YANG Ding-cai ( 1. Dept. of Communication Engineering, Beijing Electronic Science Technology Institute, Beijing 100070, China; 2. School of Information Science Engineering, Yanshan University, Qinhuangdao Hebei 066004, China) Abstract: British Standard 7799 is a representative international risk assessment standard. The domestic risk assessment work based on BS7799 is at initial stage. On the base of profound research into BS7799, the paper explores the risk assessment flow based on the standard and the development of a risk assessment tool under the flow, aiming to implement BS7799 scientifically and effectively. Key words: Risk Assessment; BS7799; Assessment Flow; Assessment Tool BS7799 的工作刚刚起步, 还没有建立起科学、有效的风险评估 1 引言 流程, 评估工作主要采取手动进行, 相应的风险评估工具匮乏。 随着信息技术的发展, 信息系统的安全状况也越来越得到 由此带来的缺陷是: 工作量大、周期长、主观性强, 不能准确、及 重视。传统的信息安全建设往往单一依靠技术手段, 暴露出了 时地为系统的安全建设提供有效的指导与改进。所以国内迫切 很大的局限性。人们逐渐认识到信息系统的安全应从系统工