一种面向涉密信息系统的风险评估方法研究

摘要

信息安全风险评估是保证信息系统安全保密的重要手段，是涉密信息系统风险管理的重要内容。本文分析了涉密信息系统风险评估的主要方式，基于评估的关键要素提出了一种定量的面向涉密信息系统安全评估方法ISSE。该评估方法采用多属性决策理论和方法，得出涉密信息系统相对威胁程度，利于评估者进行比较和选择，具有可操作性强，独立、实用等特点。文中给出该方法在涉密信息系统中的计算模型及用该方法进行涉密信息系统风险评估的主要步骤，给出威胁频率的灵敏度分析，评估结果更具客观性和准确性。并结合实例对该定量评估方法进行了分析，验证了该方法的合理性与有效性。