企業(yè)信息安全風(fēng)險(xiǎn)自評(píng)估模型研究.pdf

1、信息技術(shù)是推動(dòng)經(jīng)濟(jì)發(fā)展的重要力量，能幫助企業(yè)發(fā)展，支持企業(yè)的業(yè)務(wù)擴(kuò)展和創(chuàng)新。隨著我國(guó)企業(yè)信息化的不斷深入，傳統(tǒng)業(yè)務(wù)對(duì)信息系統(tǒng)的依賴日益增強(qiáng)，隨之而來的IT架構(gòu)也日趨龐大和復(fù)雜，同時(shí)日益嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)和各種各樣安全威脅對(duì)企業(yè)信息管理和信息安全提出了新的挑戰(zhàn)，增加了企業(yè)的風(fēng)險(xiǎn)，信息安全管理正在成為企業(yè)信息化建設(shè)中面臨的一大課題。 安全問題不能簡(jiǎn)單用技術(shù)解決，信息安全的核心在于風(fēng)險(xiǎn)管理，而風(fēng)險(xiǎn)評(píng)估是風(fēng)險(xiǎn)管理的基礎(chǔ)和前提。安全的動(dòng)態(tài)

2、性、業(yè)務(wù)和信息系統(tǒng)的不斷變化要求企業(yè)經(jīng)常開展風(fēng)險(xiǎn)評(píng)估，自評(píng)估同內(nèi)審一樣是企業(yè)風(fēng)險(xiǎn)控制的一種基本手段。目前評(píng)估中使用的模型和方法過于理論化、依賴于個(gè)人經(jīng)驗(yàn)，以致操作復(fù)雜、主觀性很強(qiáng)，不能很好地被企業(yè)使用，如何構(gòu)建科學(xué)、簡(jiǎn)單、有效的自評(píng)估模型及基于模型的評(píng)估流程和方法，已成為我們必須面對(duì)和解決的迫切課題。 構(gòu)建信息安全風(fēng)險(xiǎn)自評(píng)估模型，需要確定資產(chǎn)、威脅和脆弱性三個(gè)基本要素評(píng)價(jià)指標(biāo)和度量體系，其中威脅的評(píng)估是目前最困難和最主觀的環(huán)節(jié)，

3、也是本文的重點(diǎn)。在對(duì)目前主要的風(fēng)險(xiǎn)評(píng)估方法以及相關(guān)學(xué)者提出的評(píng)估模型研究分析的基礎(chǔ)上，結(jié)合企業(yè)自評(píng)估的需求，通過專家訪談和問卷調(diào)查獲取統(tǒng)計(jì)數(shù)據(jù)，應(yīng)用因子分析法提煉出威脅動(dòng)機(jī)、威脅能力、威脅頻率、資產(chǎn)吸引力四個(gè)基本要素作為信息系統(tǒng)威脅可能性分析的評(píng)價(jià)指標(biāo)；通過分析信息資產(chǎn)對(duì)企業(yè)的價(jià)值，結(jié)合相關(guān)標(biāo)準(zhǔn)和成果，提出從七個(gè)方面評(píng)價(jià)業(yè)務(wù)影響的信息資產(chǎn)價(jià)值評(píng)價(jià)方法；通過分析脆弱性與安全措施的關(guān)系，提出將考慮已有安全措施后的信息安全的三個(gè)基本方面(即機(jī)