信息系統(tǒng)由于要支持組織完成相應(yīng)的使命�、任務(wù)或?qū)崿F(xiàn)組織戰(zhàn)略目標,往往成為競爭對手��、黑客等各種攻擊者攻擊的目標和對象���,同時由于多種原因?qū)е孪到y(tǒng)具有不同程度的脆弱性��。從而被外界或內(nèi)部的威脅所利用����,導(dǎo)致安全事件的頻發(fā)�����。
在信息系統(tǒng)安全生命周期的各個階段中�,往往由于各種原因?qū)е铝诵畔踩L(fēng)險首先,由于在信息系統(tǒng)規(guī)劃與設(shè)計階段��,運營者對安全目標和策略認識不夠清晰�����,沒有識別及分析安全因素�,導(dǎo)致風(fēng)險延續(xù)到信息系統(tǒng)的實施和運維階段;其次��,已建設(shè)完成的信息系統(tǒng)往往規(guī)模龐大���、系統(tǒng)復(fù)雜����,數(shù)據(jù)安全屬性要求存在差異,如果沒有對業(yè)務(wù)需求和流程進行科學(xué)分析�,對整個信息系統(tǒng)采用相同的風(fēng)險評估方法及采取安全保護措施,將不能保證資源的合理配置�,造成浪費。
實施等級保護���,可以將信息系統(tǒng)劃分�、確定等級���,實現(xiàn)對重要系統(tǒng)的重點保護�����。因此����,建設(shè)安全的信息系統(tǒng)須在信息系統(tǒng)的全生命周期中不斷進行風(fēng)險評估�����,同時考慮系統(tǒng)等級的要求����。綜合平衡系統(tǒng)風(fēng)險與安全投資成本�,最終才能夠建設(shè)滿足實際需要的安全的信息系統(tǒng)��。
在等級保護的環(huán)節(jié)中風(fēng)險評估的基礎(chǔ)性作用為:在系統(tǒng)定級階段用于幫助確定系統(tǒng)的安全等級�����,在安全整改階段可以作為評估系統(tǒng)是否達到必需的安全等級的重要依據(jù)�����,后期的安全運行維護過程中開展定期風(fēng)險評估以便幫助確認安全等級是否發(fā)生變化��。
所以����,風(fēng)險評估是信息安全等級保護的基礎(chǔ)性工作����,保證等級保護連續(xù)性的重要手段之一。然而在實際工作中���,信息系統(tǒng)的運營或使用單位往往沒有足夠的技術(shù)人員與管理人員對其系統(tǒng)進行全面���、深入的風(fēng)險評估及較準確的定級�、測評����,也沒有足夠的專業(yè)測試工具支持工作。
..
|
