范文无忧网北京先略投资咨询有限公司 http://www.xianlue.com
北京先略投资咨询有限公司
中国信息安全行业风险评估分析
(最新版报告请登陆我司官方网站联系)
公司网址: www.xianlue.com
1
目 录
中国信息安全行业风险评估分析 ........................................................................ 3
第一节 信息安全行业风险评估 .................................................................. 3
一、信息安全风险评估基本概念 ........................................................ 3
1、信息安全风险评估概述 .................................................................. 3
2、信息安全的风险评估原则 .............................................................. 4
二、信息安全风险评估方法 ................................................................ 4
1 定量评估方法 .................................................................................................... 5
2 定性评估方法 .................................................................................................... 5
3 定性与定量相结合的综合评估方法 ................................................................ 5
4 典型的风险评估方法 ........................................................................................ 6
三、信息安全分风险评估的发展方向 ................................................ 7
第二节 信息安全行业风险评估发展分析 .................................................. 7
一、美国:独占鳌头,加强控管 ........................................................ 7
二、欧洲:不甘落后,重在预防 ........................................................ 9
三、亚太:及时跟进,确保发展 ...................................................... 11
四、国际组织:积极配合,重在规范 .............................................. 11
2
中国信息安全行业风险评估分析
第一节 信息安全行业风险评估
一、信息安全风险评估基本概念
1、信息安全风险评估概述
在过去的几十年时间里,信息技术已经翻天地覆地改变了整个世界。信息在人们的生产、生活中扮演着越来越重要的角色,人类越来越依赖基于信息技术所创造出来的产品,以信息技术为基础的信息产业已经成为世界经济的重要支柱产业,信息产业的发达程度已经成为一个国家的综合国力和国际竞争力强弱的重要标志。然而人们在尽情享受信息技术带给人类巨大进步的同时,也逐渐意识到它是一把双刃剑,在该领域“潘多拉盒子”已经不止一次被打开,近年来,由于信息系统安全问题所产生的损失、影响不断加剧,信息系统的安全问题越来越受到人们的普遍关注,它已经成为影响信息技术发展的重要因素。然而,传统的事后、被动、单一,针对出现的问题,采用一些安全防护措施,并以某个问题的暂时解决为过程结束标志的信息系统安全建设已经远不能适应信息系统安全防护的发展要求。这种模式往往缺少系统的考虑,就事论事,带有很大盲目性,经常是花费不少、收效甚微,造成资金、人员的巨大浪费。
信息系统安全问题单凭技术是无法得到彻底解决的,它的解决涉及到政策法规、管理、标准、技术等方方面面,任何单一层次上的安全措施都不可能提供真正的全方位的安全,信息系统安全问题的解决更应该站在系统工程的角度来考虑。在这项系统工程中,信息系统安全风险评估占有重要的地位,它是信息系统安全的基础和前提。
风险评估概述
3
信息系统的风险评估是指确定在计算机系统和网络中每一种资源缺失或遭到破坏对整个系统造成的预计损失数量。是对威胁、脆弱点以及由此带来的风险大小的评估。
对系统进行风险分析和评估的目的就是:了解系统目前与未来的风险所在,评估这些风险可能带来的安全威胁与影响程度,为安全策略的确定、信息系统的建立及安全运行提供依据。同时通过第三方权威或者国际机构评估和认证,也给用户提供了信息技术产品和系统可靠性的信心,增强产品、单位的竞争力。
信息系统风险分析和评估是一个复杂的过程,一个完善的信息安全风险评估架构应该具备相应的标准体系、技术体系、组织架构、业务体系和法律法规。
2、信息安全的风险评估原则
信息安全的风险评估原则主要包括可控性、保密性、最小影响及完整性四个原则。可控性原则包含人员、项目过程及工具的可控性,人员的可控性是指凡是参与信息的安全评估人员都应该进行资格的审查及备案,要对职责进行明确的分工,当人员的工作岗位发生变更时,要严格执行审批手续,从而确定人员的可控;项目过程的可控是指运用项目管理的方法进行评估,从而有效地实现评估过程的可控;工具的可控是指对风险评估工具进行多方的性能比对及精心挑选,同时取得相关部门及相关专家的论证及认证。保密原则指的是要跟相关的评估对象签订行为协议及保密协议。最小影响原则指的是对信息系统进行风险评估,将其对正常运行的影响降到最低。完整性原则指的是严格依照委托单位的制定范围及评估要求进行有效而全面的评估。
二、信息安全风险评估方法
标准在信息系统风险评估过程中的指导作用不容忽视,而在评估过程中使用何种方法对评估的有效性同样占有举足轻重的地位。评估方法的选择直接影响到评估过程中的每个环节,甚至可以左右最终的评估结果,所以需要根据系统的具
4