【 摘 要 】 文章介绍了信息安全风险评估方法的传统方法以及近几年来研究出的新方法,尤其对新方法进行阐述、探讨,为风险评估的深入研究和发展起到一定的促进作用,更为风险评估新方法的实际应用起到推广作用。
【 关键词 】 风险评估;信息安全;风险评估方法
Survey of Information Security Risk Assessment Methods
Zhang Man
(Northwest University of Politics and Law Business School Shanxi Xi’an 710100)
【 Abstract 】 This paper introduces the traditional methods of information security risk assessmentmethods andnew methods in recent years developed,especially to the new methods are presented in this paper,the discussion plays a certainrole in promoting for the further research and development of risk assessment, the discussion also has a more practical application of new methods to spread for the risk assessment.
【 Keywords 】 risk assessment; information security; risk assessment method
1 引言
信息安全的至关重要性越来越受到更多人的关注,它牵涉的不只是技术问题,更多的是管理问题。信息安全所涉及的工作是识别、度量和减轻运作信息资产所面临的风险,或最低限度要记录这些风险。所以风险评估是信息安全管理中最核心的一环。
风险评估是在整个信息安全战略中有着“知己知彼”的作用,了解机构运作的薄弱环节所在;了解机构的信息是如何处理、存储和传送以及机构有何种资源可用;发现与评估机构运作的风险;同时确定怎样控制和减少那些风险。选择一种合适的风险评估方法是进行风险评估的关键,直接影响评估结果的优劣。
2 常用风险评估方法
2.1 定量分析方法
定量分析方法是根据一定的数据,建立数学模型,再去计算分析各项指标的一种方法。这种方法把整个风险评估的过程和结果量化,然后通过这些被量化的数值对信息系统进行评估判定。常见的定量分析方法有时序序列分析法、因子分析法、聚类分析法、决策树法等。定量分析方法由于在实际操作过程中要收集大量的数据,所需工作量太大而且有时数据保密而无法获得或成本过高,纯定量分析方法已经很少使用。
2.2 定性分析方法
手机版
欢迎光临汇博在线http://www.paper188.com