|
|
知识路径: > 信息系统安全 > 信息系统安全管理 > 信息安全管理体系 > 信息安全管理体系 >
|
|
相关知识点:4个
|
|
|
|
|
信息安全风险评估的复杂程度将取决于风险的复杂程度和受保护资产的敏感程度,所采用的评估措施应该与组织对信息资产风险的保护需求相一致。
|
|
|
|
资产评估是企业制定信息安全策略的前提条件,只有确定企业需要重点保护的资源,才能够制定出相应的切合实际的策略。公司首先要确定对公司目前成功和长期生存至关重要的数据、系统和网络,因为这些元素对企业而言兼具货币价值和内在价值。货币价值指起重要作用的关键、敏感数据设计资料、应用系统和网络,以及如果这些元素无法提供适当的功能,公司将遭受多大的损失。内在价值指各机构必须认真考虑安全问题可能带来的对信誉、声誉和与投资者关系的损害。
|
|
|
|
在评估过程,企业要采用能够充分利用结合优秀的传统方法及联网计算的新业务模式,才能获得竞争优势。而且对许多企业来讲,问题不在于数据安全是否必要,而在于怎样在预算范围内以安全的方式管理复杂计算机环境、多种计算机平台和众多集成式计算机网络上的数据。各机构必须独立确定所需的安全程度,以及哪种安全能最有效地满足其特殊业务需求。所以,有效的评估方法就是要根据不同企业特殊条件有针对性地进行操作。
|
|
|
|
组织在进行信息资产风险评估时,不可有侥幸心理,必须将直接后果和潜在后果一并考虑。对信息安全管理体系范围内的信息资产进行鉴定和估价,然后对信息资产面对的各种威胁和脆弱性进行评估,同时对已存在的或规划的安全管制措施进行鉴定,这就是一个风险评估的过程。
|
|
|
