第1章 认识信息安全风险评估

1.1 信息安全风险评估的基本概念

1.1.1 风险评估介绍

风险评估（Risk Assessment）是指在风险事件发生之前或之后（但还没有结束），对该事件给人们的生活、生命和财产等各个方面造成的影响和损失的可能性进行量化评估的工作。即风险评估就是量化测评某一事件或事物带来的影响或损失的可能程度。

从信息安全的角度来讲，风险评估是对信息资产（即某事件或事物所具有的信息集）所面临的威胁、存在的弱点、造成的影响，以及三者综合作用所带来风险的可能性的评估。作为风险管理的基础，风险评估是组织确定信息安全需求的一个重要途径，属于组织信息安全管理体系策划的过程。

1.1.2 风险评估的基本注意事项

在风险评估过程中，有下列几个关键的问题需要考虑。

● 要确定保护的对象（或者资产）是什么？它的直接和间接价值如何？

● 资产面临哪些潜在威胁？导致威胁的问题是什么？威胁发生的可能性有多大？

● 资产中存在哪些弱点可能会被威胁或利用？利用的容易程度又如何？

● 一旦发生威胁事件，组织会遭受怎样的损失或者面临怎样的负面影响？

● 组织应该采取怎样的安全措施才能将风险带来的损失降低到最低程度？

解决以上问题的过程，就是风险评估的过程。

进行风险评估时，有下列几个对应关系必须考虑。

● 每项资产可能面临多种威胁。

● 威胁源（威胁代理）可能不止一个。

● 每种威胁可能利用一个或多个弱点。