信息安全与信息风险
如何为一个还没有建立的新系统设计制定信息安全保障系统呢?就是对信息应用系统进行安全风险分析、识别、评估,并为之制定防范措施。
信息安全与安全风险的关系:
1、拟定新系统的功能——目标
2、 现有系统(业务流程)分析——风险识别
3、对识别出的风险预优估可能的后果——风险评估
4、按照风险的大小和主次、设计相应原对策───控制风险
5、对设计对策进行投入产出评估
6、可行转入 7,不可行返回1
7、设计
8、实施
安全风险识别
风险识别与风险评估的方法
1、风险识别的方法
u 问询法(头脑风景法、面谈法和德尔菲法)
u 财务报表法
u 流程图法(网络或WBS 法)
u 现场观察法
u 历史资料
u 环境分析法
u 类比法
u 专家咨询
2、风险评估的方法
u 概率分布(专家预测)
u 外推法(使用历史数据)
u 定性评估
u 矩阵图分析
u 风险发展趋势评价方法
u 项目假设前提评价及数据准确度评估
