基于国家标准的风险评估方法研究

摘要

本文首先对国家标准《信息安全风险评估规范》(报批稿)进行了分析,对国标的风险分析方法和流程进行了改进和丰富.改进的风险分析方法考虑了更多的风险要素属性,并用问卷调查法对风险要素末级属性进行赋值,提出了多专家评估时的风险计算方法。改进的风险评估流程分别在资产识别阶段、威胁识别阶段使用了层次分析法、德尔菲法,在脆弱性识别过程中引入了技术脆弱性接口,在风险消减阶段运用选择决策树的方法从多个控制措施选取最佳方案,并对残余风险提出了基于风险要素末级属性的计算方法。