資訊保安漏洞分析與風險評估會議怎麼樣

1. 定義。

資訊保安風險評估是參照風險評估標準和管理規範，對資訊系統的資產價值、潛在威脅、薄弱環節和採取的防護措施進行分析，判斷安全事件的發生概率和可能造成的損失，並提出風險管理措施的過程。 當風險評估應用於IT領域時，它是對資訊保安的風險評估。

風險評估已從單純的漏洞掃瞄、人工審核、滲透測試逐步過渡到目前普遍採用BS7799、ISO17799、國家標準《資訊系統安全等級評價標準》等國際標準，充分體現了以資產為出發點的資訊保安風險評估綜合方法和執行模式， 以威脅為導火索，以技術管理和運營中的漏洞為誘因。

二是風險評估對企業的重要性。

企業對資訊系統的依賴程度越來越高，安全威脅和風險無處不在，從組織自身業務的需要和法律法規的要求來看，更需要加強對資訊風險的管理。 風險評估是風險管理的基礎，它依賴於風險評估的結果來確定後續的風險控制和審查和批准活動，使組織能夠準確地“定位”風險管理策略、實踐和工具。 這樣，安全活動的重點就放在重要問題上，並選擇具有成本效益和適用的安全對策。

風險評估可以明確資訊系統的安全狀況，確定資訊系統的主要安全風險，是資訊系統安全技術體系和管理體系建設的基礎。

3. 風險評估步驟：

第 1 步：描述系統特性。

第 2 步：識別威脅（威脅評估）。

第 3 步：識別漏洞（漏洞評估）。

第 4 步：分析安全控制措施。

第 5 步：確定可能性。

第 6 步：分析影響。

第 7 步：識別風險。

第 8 步：提出安全控制建議。

第 9 步：記錄評估結果。

四是風險評估的作用。

任何系統的安全性都可以通過風險的大小來衡量。 科學分析系統安全風險，綜合平衡風險和成本的過程就是風險評估。 風險評估並非特定於系統，包括資訊系統。

在日常生活和工作中，風險評估也隨處可見，以期分析確定系統風險和風險大小，進而決定採取哪些措施來降低和規避風險，將殘餘風險控制在可容忍的範圍內。 人們經常問這樣的問題：何時何地會出現問題？

出現問題的可能性有多大？ 這些問題的後果是什麼？ 應採取哪些措施來避免和補救這種情況？

並始終嘗試找出最合理的答案。 這個過程實際上是一種風險評估。

風險評估是對資訊和資訊處理設施的威脅、影響、脆弱性和發生可能性的評估。 它是確認安全風險及其大小的過程，即使用定性或定量方法，借助風險評估工具，確定資訊資產的風險等級和優先順序風險控制。

風險評估是風險管理最根本的基礎，是對現有網路安全的第一手分析，是網路安全領域最重要的內容之一。 企業在進行網路安全裝置選型、網路安全需求分析、網路建設、網路改造、應用系統試執行、內網外網互聯互通、與第三方業務夥伴線上業務資料傳輸、電子政務等服務之前，進行風險評估，幫助組織在安全的框架下開展組織活動。 通過風險評估確定風險的大小，通過制定資訊保安政策，採用適當的控制目標和控制方法，控制風險，使風險能夠避免、轉移或降低到可接受的水平。