一(yī / yì /yí)、信息安全風險評估的(de)基本概念
信息系統的(de)安全風險,是(shì)指由于(yú)系統存在(zài)的(de)脆弱性,人(rén)爲(wéi / wèi)或自然的(de)威脅導緻安全事件發生的(de)可能性及其造成的(de)影響。信息安全風險評估是(shì)指依據國(guó)家有關信息安全标準,對信息系統及由其處理、傳輸和(hé / huò)存儲的(de)信息的(de)保密性、完整性和(hé / huò)可用性等安全屬性進行科學評價的(de)過程,它要(yào / yāo)評估信息系統面臨的(de)威脅以(yǐ)及脆弱性被威脅源利用後安全事件發生的(de)可能性,并結合資産的(de)重要(yào / yāo)程度來(lái)識别信息系統的(de)安全風險。信息安全風險評估就(jiù)是(shì)從風險管理角度,運用科學的(de)分析方法和(hé / huò)手段,系統地(dì / de)分析信息化業務和(hé / huò)信息系統所面臨的(de)人(rén)爲(wéi / wèi)和(hé / huò)自然的(de)威脅及其存在(zài)的(de)脆弱性,評估安全事件一(yī / yì /yí)旦發生可能造成的(de)危害程度,提出(chū)有針對性的(de)抵禦威脅的(de)防護對策和(hé / huò)整改措施,以(yǐ)防範和(hé / huò)化解風險,或者将殘餘風險控制在(zài)可接受的(de)水平,從而(ér)最大(dà)限度地(dì / de)保障網絡與信息安全。
二、信息安全風險評估各要(yào / yāo)素之(zhī)間的(de)關系
