風險評估(Risk Assessment) 是指,在風險事件發(fā)生之前或之后(但還沒有結(jié)束),該事件給人們的生活、生命、財產(chǎn)等各個方面造成的影響和損失的可能性進行量化評估的工作。即,風險評估就是量化測評某一事件或事物帶來的影響或損失的可能程度。
從信息安全的角度來講,風險評估是對信息資產(chǎn)(即某事件或事物所具有的信息集)所面臨的威脅、存在的弱點、造成的影響,以及三者綜合作用所帶來風險的可能性的評估。作為風險管理的基礎,風險評估是組織確定信息安全需求的一個重要途徑,屬于組織信息安全管理體系策劃的過程。
風險評估過程注意事項
在風險評估過程中,有幾個關鍵的問題需要考慮。
首先,要確定保護的對象(或者資產(chǎn))是什么?它的直接和間接價值如何?
其次,資產(chǎn)面臨哪些潛在威脅?導致威脅的問題所在?威脅發(fā)生的可能性有多大?
第三,資產(chǎn)中存在哪些弱點可能會被威脅所利用?利用的容易程度又如何?
第四,一旦威脅事件發(fā)生,組織會遭受怎樣的損失或者面臨怎樣的負面影響?
最后,組織應該采取怎樣的安全措施才能將風險帶來的損失降低到最低程度?
解決以上問題的過程,就是風險評估的過程。
進行風險評估時,有幾個對應關系必須考慮:
每項資產(chǎn)可能面臨多種威脅
威脅源(威脅代理)可能不止一個
每種威脅可能利用一個或多個弱點