详细风险评估要求对资产进行详细识别和评价,对可能引起风险的威胁和弱点水平进行评估,根据风险评估的结果来识别和选择安全措施。这种评估途径集中体现了风险管理的思想,即识别资产的风险并将风险降低到可接受的水平,以此证明管理者所采用的安全控制措施是恰当的。
详细评估的优点在于:
1、***可以通过详细的风险评估而对信息安全风险有一个精i确的认识,并且准确定义出***目前的安全水平和安全需求;
2、详细评估的结果可用来管理安全变化。当然,详细的风险评估可能是非常耗费资源的过程,包括时间、精力和技术,因此,***应该仔细设定待评估的信息系统范围,明确商务环境、操作和信息资产的边界。
对于项目启动之前的风险评估一般来说可以从两个方面来考量,一方面评估信息化建设成功的可能性,另一方面需要评价项目实施的难易程度。
影响项目成功可能性的风险因素包括:企业战略对信息化的需求、决策层的态度、信息化项目的准备情况以及企业信息化建设的现状。信息化项目之所以可能成功,在于业务的驱动力大小。如果企业的业务对于信息化要求迫切,决策层大力支持,项目准备充分,信息化项目成功启动的可能性就大大增加了。
安全风险评估的目的及作用
安全风险评估有几个目的:(1)明确目前企业的安全工作状况,并在此基础上制定改进安全的计划。(2)明确存在高风险工作区域和该区域的实际安全情况。(3)了解各部门及员工的意见。(4)明确培训的需求。
通过安全风险评价,可以变事后处理为事前预防,预先识别系统的***性,分析生产经营单位的安全状况,的评价系统及各部分的***程度和安全管理状况,促使生产经营单位达到规定的安全要求。
