基于风险权值的等级评测模型研究

摘要

信息安全风险评估作为信息安全保障工作的基础性工作和重要环节，要贯穿于信息系统的规划、设计、实施、运行维护以及废弃各个阶段，是信息安全等级保护制度建设的重要科学方法之一。文章基于风险评估的核心思想，从现有的风险评估和等级测评模型入手，介绍了风险评估的框架、流程，还分析了现有等级测评的基本流程和等级测评模型。并进一步建立了一种新的基于风险权值的等级测评模型。该模型在对整个信息系统的符合情况进行统计分析时，用风险权影响统计分析结果。使统计分析结果更贴近信息系统的实际安全状况，解决了统计分析结果受信息系统规模大小的影响。