信息安全风险评估资质企业信息安全风险的自评估及其流程设计汇报人：xxx..信息安全风险评估资质企业信息安全风险的自评估及其流程设计2019-07-2309:42:42・108・计算机应用研究2005年企业信息安全风险的自评估及其流程设计许诚心,北京100039)1,23,张玉清,雷震甲21(1.西安电子科技大学经济管理学院,陕西西安710071;2.中国科学院研究生院国家计算机网络入侵防范中摘要:首先分析了企业信息安全风险评估的两种模式,即自评估和他评估,指出了它们的优缺点,然后讨论企业自评估的评估要素和评估原则,最后为企业自评估设计了一个实施流程,对该流程的各个环节进行了较为深入的分析,同时对该流程进行评价。关键词:自评估;风险;风险评估中图法分类号:TP309文献标识码:A:100123695(2005)0720108203Self2assessmentofInformationSecurityRisksinEnterprisesandDesignofItsProcedureXUCheng,ZHANGYu2qing,LEIZhen2激aCenter,GSCAS,Bei激ng100039,China)1,221(1.SchoolofEconomyManagement,XidianUniversity,Xi’anShanxi710071,China;2.NationalComputerNorkIntrusionProtectionAbstract:Firstly,twokindsofmodesofinformationthe2assessmentandother2assessmentareanalyzed,theirand.assessmentfactorsandprinci2plesofself2assessmentare.implepself2assessmentofenterprisesisdesigned,andeachlinkofronatthesametime,thisprocedureisappraised.Keywords:2Riskssessment企业的信息安全风险评估工作是企业信息安全策略的主要组成部分,也是企业风险管理的关键环节,其评估结果的准确程度直接影响到风险管理的成败。目前,国内外企业的信息安全风险评估大致有两种模式,即自评估和他评估。在一般情况下,企业只有在发生较大变化时,如企业刚刚建立、主要业务系统发生重大改变时才进行他评估,而在大多数情况下,企业只进行自评估,以此作为信息安全管理的一项重要工作。因此,自评估已经成为企业信息安全风险评估的基本模式。国外许多企业已经把风险评估的一些理论、方法和流程应用于自评估领域内,而我国在这一方面起步较晚,到目前为止还没有对企业自评估形成统一、清楚的认识,在自评估具体的实施过程中还存在着许许多多的问题。而自评估是指企业自身利用最小的资源(人力、物力、资金等)消耗来了解当前企业的安全状态以及安全流程和控制措施的有效性,以便对企业本身进行综合的判断和投资来减小风险使它尽快达到一个可被接受的水平。对于企业来说,信息安全风险的自评估和他评估各有自己的优缺点。下面,我们就主要通过企业自评估的优缺点来分析企业信息安全的这两种风险评估模式。首先,自评估由于其资源、评估人员水平等的限制,存在着一些固有缺点,当然它们的相反面也正是他评估的优势所在,这些内容包括:(1)不深入、不规范、不到位。由于自评估人员主要由企业内部人员组成,他们可能并不是专门从事这项活动,所以在评估的能力上有所欠缺,进而导致了评估的不深入、不规范和不到位。(2)工具缺乏。目前,进行风险评估工作需要许多辅助工1企业信息安全风险评估的模式分析我们知道企业的信息安全风险评估分为自评估和他评估两种模式,这主要根据评估方和被评估方的关系以及他们与信息资产之间的关系来确定的。其中,他评估是指企业为了全面了解其面临的信息安全风险而委托具有风险评估能力的专业评估机构或上级主管部门为了检查颁布的政策、标准的实施情况而进行的风险评估活动,企业本身并不需要做太多的工作。收稿日期:2004207209;修返日期:2004209222基金项目:国家“863”计划资助项目(2002AA142151);国家计算机网络与信息安全管理中心资助项目(20022研212A2007)具,如漏洞扫描、系统测试工具等,但企业自身不可能额外地开发这些工具,即使从市场上购买这些工具,也不能完全满足整个评估工作的需要。(3)主观因素较多。由于主要是由企业内部人员进行评估,所以在评估过程中不可避免地增加了主观因素,不能客观地看待评估过程中遇到的问题。(4)权威性小。由于评估是由企业内部人员完成的,它所产生的结果可能并不会被其他企业或机构承认和接受。其次,在其他方面企业自评估展现出越来越多的优点,其第7期许诚等:企业信息安全风险...