信息安全

安全风险

风险评估

信息安全风险：人为或自然的威胁利用信息安全及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。

信息安全风险评估：依据有关信息安全技术与管理标准，对信息安全及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。

规划阶段目标：识别系统的业务战略，以支撑系统的安全需求及安全战略。

规划阶段评估重点：1、本阶段不需要识别资产和脆弱性；2、应根据被评估对象的应用对象、应用环境、业务状况、操作要求等方面识别威胁；

设计阶段目标：评估安全设计方案是否满足系统安全功能的需求。

设计阶段评估重点：

1.以安全建设方案评审的方式进行；

2.重点分析来自物理环境和自然的威胁，以及由于内外部入侵造成的威胁；

3.技术实现以及人员、组织管理等方面的脆弱性识别；

4.系统开发方法的选择；

实施阶段目标：对系统开发、实施过程进行风险识别，对建成后的系统安全功能进行验证。

实施阶段评估重点：已识别的安全威胁进一步细分；评估安全措施的实现程度；对系统的开发与技术/产品获取、系统交付实施进行评估。

运行阶段目标：了解和控制运行过程中的安全风险（较全面）。

运行阶段评估重点：战略评估、业务评估、资产评估、威胁评估、脆弱性评估、风险分析、定期或发生重大变更时开展。

废弃阶段目标：对废弃资产对组织的影响进行分析。

废弃阶段评估重点：对废弃资产对组织的影响进行分析，并根据不同的影响制定不同的处理方式。

（文章来源：安全架构）