企业信息安全风险的自评价及其流程设计-计算机应用研究.PDFVIP

1·08 · 计算机应用研究 2005 年 企业信息安全风险的自评估及其流程设计 * 1, 2 2 1 许 诚 , 张玉清 , 雷震甲 ( 1. 西安电子科技大学 经济管理学院, 陕西 西安 710071; 2. 中国科学院 研究生院 国家计算机网络入侵防范中 心, 北京 100039) 摘 要: 首先分析了企业信息安全风险评估的两种模式, 即自评估和他评估, 指出了它们的优缺点, 然后讨论企 业自评估的评估要素和评估原则, 最后为企业自评估设计了一个实施流程, 对该流程的各个环节进行了较为深 入的分析 , 同时对该流程进行评价。 关键词: 自评估; 风险; 风险评估 中图法分类号: TP309 文献标识码 : A 文章编号 : 1001- 3695( 2005) 07- 0108- 03 Self-assessment of Information Security Risks in Enterprises and Design of Its Procedure 1, 2 2 1 XU Cheng , ZHANG Yu-qing , LEI Zhen-jia ( 1. School of Economy Management, Xidian University, Xi’an Shanxi 710071 , China; 2 . National Computer Network Intrusion Protection Center, GSCAS, Beijing 100039, China) Abstract: Firstly, two kinds of modes of information security risk assessment in the enterprises named self-assessment and other-assessment are analyzed, their advantages and disadvantages being pointed out. Then the assessment factors and princi- ples of self-assessment are discussed. Finally, an implementation procedure for self-assessment of enterprises is designed, and each link of this procedure is carried on comparatively deep analysis, at the same time, this procedure is appraised. Key words: Self-assessment; Risk; Risk Assessment 企业的信息安全风险评估工作是企业信息安全策略的主 而自评估是指企业自身利用最小的资源 ( 人力、物力、资金等) 要组成部分, 也是企业风险管理的关键环节, 其评估结果的准 消耗来了解当前企业的安全状态以及安全流程和控制措施的 确程度直接影响到风险管理的成败。目前, 国内外企业的信息 有效性, 以便对企业本身进行综合的判断和投资来减小风险使 安全风险评估大致有两种模式, 即自评估和他评估。在一般情 它尽快达到一个可被接受的水平。对于企业来说, 信息安全风 况下, 企业只有在发生较大变化时