面向网络安全运行管理的风险自评估方法

摘要

信息安全风险评估,是信息安全管理体系中的一个重要组成部分.通过风险评估,可以详细的了解被评估对象当前安全状态以及存在的不足,为以后的网络建设、安全控制措施部署等相关决策提供重要参考.目前绝大多数的风险评估或自评估方法,均按照资产识别、威胁识别和脆弱性识别这一流程.在实际运用中存在主观性较强、数据不易收集等缺陷.本文首先阐述了国内外风险评估相关标准以及风险计算方法的发展.在被评估对象具有专门的网络管理部门的前提下,提出了一种面向网络安全运行管理的信息安全风险自评估模型和方法.该方法去掉了资产识别和威胁识别的过程,从合规性、管理脆弱性、技术脆弱性和现有安全控制措施影响等四个方面进行分析评估,在保证评估结果尽可能准确和实用的前提下,提高了方法的可操作性.最后给出该自评估方法的一个实际应用案例.