摘要:隨著當今日新月異的科學技術發展和資訊化技術迅猛的更新換代之勢,科技資訊科技系統已經成為人類社會發展必不可缺少的一部分。除了人們日常生活、交流中對於資訊系統的不可缺,連國家政治軍事、經濟發展等重要特殊領域都離不開資訊系統應用,可以說資訊系統的分布已經覆蓋著人類社會的方方面面,整個社會的發展程序已經完全依賴於資訊系統的使用。
建立乙個精銳、安全的資訊系統已經成為當今世界各國確保社會和諧安定、政治穩定和經濟有序發展的重要保障手段。
關鍵詞:資訊系統;風險;評估;管理
在當前迅猛的科技資訊科技傳播更新下,對於資訊保安管理的工作也發生了重大的改變,其從傳統單一的技術管理手段改變為技術與管理兩者相結合的較全面綜合管理手段;其從區域性的管理模式改變到對於全域性管理的系統管理模式;從最初存在較多問題的不完善經驗式管理改變到目前具有著分明的安全等級科學管理模式等。在風險評估上也從評估物件的綜合評估轉變到個因評估、從目前的現今評估發展到對未來趨勢的評估;又從靜態的評估方式轉變到動態評估方式;從最初的手動風險評估轉變到今天的全自動技術自動評估;從資訊風險的定量評估改變到定性與定量兩者相結合等,以上的改變都證實了我國在資訊保安管理上不斷努力的成效。結合目前我國資訊系統的現狀來說,在現有基礎上對於相關資訊系統科學理論、方法的更進一步完善與創新,是勢在必行的,也是確保資訊系統風險評估與管理工作不斷完善的必要前提。
一、資訊系統風險評估方法的研究現狀
1.基於專家系統的風險評估工具
這種方法經常利用專家系統建立規則和外部知識庫,通過調查問卷的方式收集組織內部資訊保安的狀態。對重要資產的威脅和脆弱點進行評估,產生專家推薦的安全控制措施。這種工具通常會自動形成風險評估報告,安全風險的嚴重程度提供風險指數,同時分析可能存在的問題,以及處理辦法。
2.基於定性或定量演算法的風險分析工具。
風險評估根據對各要素的指標量化以及計算方法不同分為定性和定量的風險分析工具。風險分析作為重要的資訊保安保障原則已經很長時間。資訊保安風險分析演算法在很久以前就提出來,而且一些演算法被作為正式的資訊保安標準。
這些標準大部分是定性的——也就是,他們對風險產生的可能性和風險產生的後果基於「低/中/高」這種表達方式,而不是準確的可能性和損失量。隨著人們對資訊保安風險了解的不斷深入,獲得了更多的經驗資料,因此人們越來越希望用定量的風險分析方法反映事故方式的可能性。
資訊系統安全風險評估報告
專案名稱 風險評估報告 被評估公司單位 參與評估部門 x委員會 一 風險評估專案概述 1.1 工程專案概況 1.1.1 建設專案基本資訊 1.2 風險評估實施單位基本情況 二 風險評估活動概述 2.1 風險評估工作組織管理 描述本次風險評估工作的組織體系 含評估人員構成 工作原則和採取的保密措施。2...
資訊系統風險管理認識
對於資訊系統風險管理的認識 風險管理是專案管理的主要部分,其目的是追求積極活動的最大化和不利活動的最小化。在現代專案管理中,強調對專案目標的主動控制,以對專案實現過程中遭遇的風險和干擾因素可以預防作用,從而減少損失。資訊系統是資訊內部傳遞和資訊對外報告的技術手段,是企業利用計算機和通訊技術,對內部控...
資訊系統安全風險評估的形式
一 專案相關資訊 專案背景 隨著某公司資訊化建設的迅速發展,特別是面向全國 面向社會公眾服務的業務系統陸續投入使用,對該公司的網路和資訊系統安全防護都提出了新的要求。為滿足上述安全需求,需對該公司的網路和資訊系統的安全進行一次系統全面的評估,以便更加有效保護該公司各專案業務應用的安全。專案目標 第一...