六、知识子域:安全评估
阅读提示 本知识域包括信息安全评估相关的知识,包括安全评估相关基础知识、安全评估标准及信息系统审计三个知识域。学员通过学习需要掌握安全评估的相关概念、安全评估的实现方法及安全审计相关内容。
6.1 知识子域:安全评估基础
评估是建立风险管理的基础,安全评估是建立在风险管理有效的背景支持下的重要环节。通俗而言,我们把安全评估也会称作风险评估或者安全风险评估。本章节也是对风险管理知识子域的重要补充和支撑。
6.1.1 安全评估概念
1.安全评估基本概念
安全评估也称作风险评估,是针对事物潜在影响正常执行其职能的行为产生干扰或者破坏的因素进行识别、评价的过程。可将其分为狭义和广义二种j狭义指对一个具有特定功能的工作系统中固有的或潜在的危险及其严重程度所进行的分析与评估,并以既定指数、等级或概率值做出定量的表示,最后根据定量值的大小决定采取预防或防护对策。广义指利用系统工程原理和方法对拟建或已有工程、系统可能存在的危险性及其可能产生的后果进行综合评价和预测,并根据可能导致的事故风险的大小,提出相应的安全对策措施,以达到工程、系统安全的过程。
信息化技术日益快速的发展使得各种平台、应用相互关联,并且不断在变更,而组织机构对于信息安全投入有限,如何采取所有必要措施保护组织的资产是组织机构不可避免要面对的问题。环境越复杂,就越需要这种措施和控制来保证组织业务流程的连续性。