風(fēng)險(xiǎn)評(píng)估從早期簡(jiǎn)單的漏洞掃描、人工審計(jì)、滲透性測(cè)試這種類型的純技術(shù)操作，逐漸過渡到目前普遍采用國(guó)際標(biāo)準(zhǔn)的BS7799、ISO17799、國(guó)家標(biāo)準(zhǔn)《信息系統(tǒng)安全等級(jí)評(píng)測(cè)準(zhǔn)則》等方法，充分體現(xiàn)以資產(chǎn)為出發(fā)點(diǎn)、以威脅為觸發(fā)因素、以技術(shù)/管理/運(yùn)行等方面存在的脆弱性為誘因的信息安全風(fēng)險(xiǎn)評(píng)估綜合方法及操作模型。
信息安全風(fēng)險(xiǎn)評(píng)估很多時(shí)候是用來了解信息系統(tǒng)目前當(dāng)前的網(wǎng)絡(luò)安全防御能力和判斷是否存在一些已知的安全隱患。對(duì)于企業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和信息泄露風(fēng)險(xiǎn)有很大的幫助。
風(fēng)險(xiǎn)評(píng)估是為了查找并發(fā)現(xiàn)信息系統(tǒng)、IT環(huán)境、工作流程中存在的安全風(fēng)險(xiǎn)并進(jìn)行修補(bǔ)，安全隱患，其實(shí)際意義包括：
1、通過資產(chǎn)發(fā)現(xiàn)、脆弱點(diǎn)掃描等技術(shù)手段，對(duì)現(xiàn)有應(yīng)用系統(tǒng)、網(wǎng)絡(luò)、主機(jī)及工作環(huán)境進(jìn)行的掃描發(fā)現(xiàn)和統(tǒng)計(jì)現(xiàn)有資產(chǎn)信息(包括設(shè)備、流程、制度等)，從資產(chǎn)管理角度發(fā)現(xiàn)僵尸設(shè)備，從系統(tǒng)安全性角度發(fā)現(xiàn)隱藏的安全漏洞，了解系統(tǒng)的脆弱性;
根據(jù)資產(chǎn)發(fā)現(xiàn)的結(jié)果進(jìn)行風(fēng)險(xiǎn)掃描，可針對(duì)特定漏洞實(shí)時(shí)進(jìn)行排查，形成風(fēng)險(xiǎn)評(píng)估表，計(jì)算風(fēng)險(xiǎn)的嚴(yán)重性并加以改進(jìn)和加固。經(jīng)過上述一系列系統(tǒng)信息安全建設(shè)，能夠在很大程度上提高信息系統(tǒng)的系統(tǒng)安全性和業(yè)務(wù)連續(xù)性。
2、通過安全評(píng)估和脆弱性分析，制定適合企業(yè)客觀條件、實(shí)際業(yè)務(wù)的安全策略、制度和目標(biāo);
通過安全風(fēng)險(xiǎn)評(píng)估，掌握信息系統(tǒng)的安全現(xiàn)狀，提出安全解決建議；結(jié)合企業(yè)客觀現(xiàn)狀和業(yè)務(wù)需求，制定有針對(duì)性的安全策略和短期、長(zhǎng)期可落地的信息安全目標(biāo)；協(xié)助進(jìn)行企業(yè)信息安全體系制度的建設(shè)與落地；提出有實(shí)際意義的信息安全體系建設(shè)方針；將安全評(píng)估的結(jié)果作為下一階段工作的數(shù)據(jù)基礎(chǔ)；完成安全加固工作；網(wǎng)絡(luò)架構(gòu)、主機(jī)安全、中間件及數(shù)據(jù)庫(kù)安全、WEB安全和安全管理是安全評(píng)估的。

風(fēng)險(xiǎn)評(píng)估準(zhǔn)備是整個(gè)風(fēng)險(xiǎn)評(píng)估過程有效性的保證。由于風(fēng)險(xiǎn)評(píng)估受到組織的業(yè)務(wù)戰(zhàn)略、業(yè)務(wù)流程、安全需求、系統(tǒng)規(guī)模和結(jié)構(gòu)等方面的影響，因此，在風(fēng)險(xiǎn)評(píng)估實(shí)施前，應(yīng)充分做**估前的各項(xiàng)準(zhǔn)備工作。信息安全風(fēng)險(xiǎn)評(píng)估涉及組織內(nèi)部有關(guān)重要信息，被評(píng)估組織應(yīng)慎重選擇評(píng)估單位、評(píng)估人員的資質(zhì)和，并遵從國(guó)家或行業(yè)相關(guān)管理要求。
在準(zhǔn)備階段需要做的工作內(nèi)容如下：
① 確定評(píng)估目標(biāo)；
② 確定評(píng)估范圍；
③ 組建評(píng)估團(tuán)隊(duì)；
④ 評(píng)估工作啟動(dòng)會(huì)議；
⑤ 系統(tǒng)調(diào)研；
⑥ 確定評(píng)估依據(jù)和評(píng)估方法；
⑦ 選擇相應(yīng)的評(píng)估工具；
⑧ 制定評(píng)估方案。

信息安全風(fēng)險(xiǎn)評(píng)估的三個(gè)要素
1、風(fēng)險(xiǎn)識(shí)別
在風(fēng)險(xiǎn)評(píng)估之前，需要反復(fù)排查和辨識(shí)業(yè)務(wù)流程中的每個(gè)業(yè)務(wù)單元、各種相關(guān)活動(dòng)和重要環(huán)節(jié)，看看這些項(xiàng)目有哪些風(fēng)險(xiǎn)，以便我們能夠?qū)︼L(fēng)險(xiǎn)情況進(jìn)行估計(jì)并做出基本判斷。
2、風(fēng)險(xiǎn)分析
仔細(xì)分析有風(fēng)險(xiǎn)識(shí)別的項(xiàng)目或過程，了解這些風(fēng)險(xiǎn)的特征，并使用明確的定義來描述它們，使用數(shù)字定義或檔位定義來明確這些風(fēng)險(xiǎn)的發(fā)生條件和程度，使人們能夠更直觀地了解這些風(fēng)險(xiǎn)的可能性和后果。
3、風(fēng)險(xiǎn)評(píng)估
第三個(gè)要素是終風(fēng)險(xiǎn)評(píng)估，即進(jìn)行正式的風(fēng)險(xiǎn)評(píng)估，并對(duì)企業(yè)方案或經(jīng)營(yíng)目標(biāo)的終影響以及風(fēng)險(xiǎn)的可能性、價(jià)格和可能后果進(jìn)行明確的定量評(píng)估，讓使用者更清楚了解是否應(yīng)繼續(xù)推行該計(jì)劃，是否足以承擔(dān)有關(guān)風(fēng)險(xiǎn)。

企業(yè)在做信息安全風(fēng)險(xiǎn)評(píng)估的時(shí)候，需要注意這些內(nèi)容
1、風(fēng)險(xiǎn)評(píng)估不應(yīng)局限于信息化系統(tǒng)和網(wǎng)絡(luò)
風(fēng)險(xiǎn)評(píng)估所囊括的范圍，應(yīng)該包括企業(yè)運(yùn)營(yíng)所涉及到的全部單元，不僅僅是網(wǎng)絡(luò)環(huán)境、信息系統(tǒng)，還應(yīng)包括各類信息化設(shè)備、流程、制度及人員。
2、風(fēng)險(xiǎn)評(píng)估，不是為了評(píng)估而評(píng)估
風(fēng)險(xiǎn)評(píng)估，是為了不斷提高企業(yè)的信息和網(wǎng)絡(luò)安全水平和成熟度，從而變被動(dòng)防御為主動(dòng)出擊。
3、注重人員安全意識(shí)的培養(yǎng)
很多企業(yè)、公司在信息安全上投入大量的資金，終導(dǎo)致數(shù)據(jù)泄露的原因，往往卻是發(fā)生在人本身。企業(yè)，是由人組成的，因此提高人員的安全意識(shí)尤為重要。
我們將以企業(yè)管理逐步上升為發(fā)展方向，努力為當(dāng)?shù)氐慕?jīng)濟(jì)發(fā)展做出自己的貢獻(xiàn)。公司正以誠(chéng)信為宗旨，加快技術(shù)投入與改造力度，做精做強(qiáng)企業(yè)。公司堅(jiān)持為客戶服務(wù)，建設(shè)資源節(jié)約和環(huán)境友好型企業(yè)，實(shí)現(xiàn)企業(yè)可持續(xù)發(fā)展。
http://www.binhaimarina.cn