企業(yè)信息安全風(fēng)險管理的框架研究.pdf

1、現(xiàn)代信息和網(wǎng)絡(luò)技術(shù)就像一把雙刃劍。一方面，企業(yè)借助信息系統(tǒng)準(zhǔn)確、高效、互聯(lián)的特性擁有了更大的發(fā)展空間；另一方面，企業(yè)也不得不關(guān)注由此引發(fā)的信息安全問題。 信息和信息系統(tǒng)面臨的威脅趨于多樣化和頻繁化，攻擊頻率越來越高，需要做出反應(yīng)的時間越來越短，傳統(tǒng)的事后式、被動式的安全管理已經(jīng)不能保證企業(yè)的信息安全，企業(yè)應(yīng)該用風(fēng)險管理的思想構(gòu)建安全的信息系統(tǒng)。 信息安全風(fēng)險管理是一個動態(tài)的、循環(huán)的過程，在風(fēng)險評估的基礎(chǔ)上，還要對風(fēng)險控制

2、措施加以落實，并進(jìn)行有效的監(jiān)督和控制。安全不是絕對的，在企業(yè)實施信息安全風(fēng)險管理項目時，要按照成本—效益的原則，有效的整合企業(yè)各種資源。 本文在對信息安全和風(fēng)險管理理論進(jìn)行研究的基礎(chǔ)上，結(jié)合企業(yè)安全需求和信息安全風(fēng)險管理實踐，提出企業(yè)信息安全風(fēng)險管理的框架，用以指導(dǎo)企業(yè)信息安全的實踐。框架包括兩個部分：企業(yè)信息安全風(fēng)險管理的一般過程框架和企業(yè)信息安全風(fēng)險管理的實施框架?？蚣艿谝徊糠謱⑿畔踩L(fēng)險管理定義成為包括風(fēng)險識別、風(fēng)險分析