信息系統(tǒng)規(guī)劃階段風險評估模型.pdf

1、隨著信息技術(shù)的高速發(fā)展和信息管理理論的日益成熟，人們對于信息安全概念的認識，正經(jīng)歷一個從保密到保護，又發(fā)展到保障的趨近真理的發(fā)展過程。信息安全問題不僅僅由技術(shù)原因引起，它還涉及到人和社會的因素。因此，只靠技術(shù)是不能有效地解決信息安全問題的。只有依靠科學有效的管理和有著良好信息安全技能的人，實施綜合規(guī)范的保障手段，才能取得良好的效果。
　　傳統(tǒng)信息系統(tǒng)安全風險評估從系統(tǒng)運行維護環(huán)境出發(fā)，分析其漏洞和威脅。而這種單從“查缺補漏”的角度

2、對系統(tǒng)運行階段進行安全風險分析是不夠的，必須建立起完善的風險管理體制，把風險評估思想提高至整個信息系統(tǒng)生命周期的高度上。本文正是針對這一點，在信息系統(tǒng)生命周期的第一階段——系統(tǒng)規(guī)劃階段——進行風險評估工作的研究，使影響信息系統(tǒng)安全有效運行的各種可能因素在第一時間得到重視并加以控制，為之后信息系統(tǒng)在企業(yè)成功的應用打下堅實的基礎。
　　本文以系統(tǒng)安全工程能力成熟模型（SSE-CMM）為理論指導，基于過程改善的思想，對信息系統(tǒng)規(guī)劃階段風

3、險特點進行了闡述，給出了規(guī)劃階段風險評估的實施要點，并結(jié)合目前風險評估理論，提出了信息系統(tǒng)規(guī)劃階段風險的層次指標體系。本文將系統(tǒng)規(guī)劃階段的風險體系分為三個層次，并針對具體風險指標進行了風險來源、影響范圍和防范措施的詳細描述，為風險評估和風險控制提供了理論依據(jù)；在此基礎上，本文應用模糊綜合評價法與層次分析法的集成方法，給出系統(tǒng)規(guī)劃階段風險評估的計算過程，根據(jù)風險結(jié)果值可以找出企業(yè)信息系統(tǒng)規(guī)劃過程中的關鍵環(huán)節(jié)，為風險控制工作有的放矢的進行打