信息系統(tǒng)實施階段風險評估模型研究.pdf

1、當前，隨著信息技術發(fā)展和社會信息化進程的全面加快，國民經(jīng)濟對信息和信息系統(tǒng)的依賴越來越大。由此而產(chǎn)生的信息安全問題也日益突出，必須高度重視，并有充分的對策。信息安全管理的本質是風險管理，這是因為沒有絕對的安全也沒有徹底的風險，安全和風險密不可分。所謂的安全的信息系統(tǒng)，就是通過最優(yōu)的風險管理策略，把信息系統(tǒng)上客觀存在的風險，逐步降低到一個可以接受的程度。而風險評估是風險管理的第一步工作，是保障信息安全的重要手段，其作用被越來越多的人所認可

2、。信息系統(tǒng)風險評估實際上就是根據(jù)有關的信息安全測評標準，對信息資產(chǎn)存在的脆弱性、面臨的威脅以及脆弱性被威脅利用會產(chǎn)生的負面影響和危害事件發(fā)生的可能性，進行科學評價的過程。對信息系統(tǒng)風險而言，脆弱性和威脅是原因，負面影響和可能性是結果。在信息化建設中進行信息系統(tǒng)的風險分析和安全管理，是一個新的和十分重要的課題，已經(jīng)引起國家的高度重視。信息安全管理不單單是管理體制或技術問題，而是策略、管理和技術有機結合。本文結合不同信息系統(tǒng)開發(fā)方法特點，將

3、信息系統(tǒng)開發(fā)的各個階段進行了明確的劃分，并將系統(tǒng)實施階段的工作任務進行了有效地闡述。然后，以系統(tǒng)安全工程能力成熟模型(SSE-CMM)為理論指導，基于過程改善的思想，結合信息系統(tǒng)安全風險的特性，對信息系統(tǒng)實施階段風險特點進行了闡述，給出了實施階段系統(tǒng)風險的特點；并結合風險評估理論和方法，提出了信息系統(tǒng)實施階段風險層次指標體系，將系統(tǒng)實施階段的風險體系分為風險來源、影響范圍和防范措施三個層次進行詳細描述，并將為風險評估和風險控制提供了理論