信息系統(tǒng)實施階段風(fēng)險評估模型研究.pdf

1、當(dāng)前，隨著信息技術(shù)發(fā)展和社會信息化進程的全面加快，國民經(jīng)濟對信息和信息系統(tǒng)的依賴越來越大。由此而產(chǎn)生的信息安全問題也日益突出，必須高度重視，并有充分的對策。信息安全管理的本質(zhì)是風(fēng)險管理，這是因為沒有絕對的安全也沒有徹底的風(fēng)險，安全和風(fēng)險密不可分。所謂的安全的信息系統(tǒng)，就是通過最優(yōu)的風(fēng)險管理策略，把信息系統(tǒng)上客觀存在的風(fēng)險，逐步降低到一個可以接受的程度。而風(fēng)險評估是風(fēng)險管理的第一步工作，是保障信息安全的重要手段，其作用被越來越多的人所認(rèn)可

2、。信息系統(tǒng)風(fēng)險評估實際上就是根據(jù)有關(guān)的信息安全測評標(biāo)準(zhǔn)，對信息資產(chǎn)存在的脆弱性、面臨的威脅以及脆弱性被威脅利用會產(chǎn)生的負(fù)面影響和危害事件發(fā)生的可能性，進行科學(xué)評價的過程。對信息系統(tǒng)風(fēng)險而言，脆弱性和威脅是原因，負(fù)面影響和可能性是結(jié)果。在信息化建設(shè)中進行信息系統(tǒng)的風(fēng)險分析和安全管理，是一個新的和十分重要的課題，已經(jīng)引起國家的高度重視。信息安全管理不單單是管理體制或技術(shù)問題，而是策略、管理和技術(shù)有機結(jié)合。本文結(jié)合不同信息系統(tǒng)開發(fā)方法特點，將

3、信息系統(tǒng)開發(fā)的各個階段進行了明確的劃分，并將系統(tǒng)實施階段的工作任務(wù)進行了有效地闡述。然后，以系統(tǒng)安全工程能力成熟模型(SSE-CMM)為理論指導(dǎo)，基于過程改善的思想，結(jié)合信息系統(tǒng)安全風(fēng)險的特性，對信息系統(tǒng)實施階段風(fēng)險特點進行了闡述，給出了實施階段系統(tǒng)風(fēng)險的特點；并結(jié)合風(fēng)險評估理論和方法，提出了信息系統(tǒng)實施階段風(fēng)險層次指標(biāo)體系，將系統(tǒng)實施階段的風(fēng)險體系分為風(fēng)險來源、影響范圍和防范措施三個層次進行詳細(xì)描述，并將為風(fēng)險評估和風(fēng)險控制提供了理論