一、信息安全風險評估的基本概念
信息系統的安全風險���,是指由于系統存在的脆弱性�����,人為或自然的威脅導致安全事件發生的可能性及其造成的影響�����。信息安全風險評估是指依據國家有關信息安全標準,對信息系統及由其處理、傳輸和存儲的信息的保密性�����、完整性和可用性等安全屬性進行科學評價的過程�����,它要評估信息系統面臨的威脅以及脆弱性被威脅源利用后安全事件發生的可能性���,并結合資產的重要程度來識別信息系統的安全風險����。信息安全風險評估就是從風險管理角度����,運用科學的分析方法和手段�����,系統地分析信息化業務和信息系統所面臨的人為和自然的威脅及其存在的脆弱性�,評估安全事件一旦發生可能造成的危害程度,提出有針對性的抵御威脅的防護對策和整改措施,以防范和化解風險���,或者將殘余風險控制在可接受的水平,從而最大限度地保障網絡與信息安全。
二、信息安全風險評估各要素之間的關系
