基于ISO27001的信息安全風(fēng)險(xiǎn)評(píng)估研究與實(shí)現(xiàn).pdf

1、當(dāng)前，隨著信息技術(shù)的發(fā)展，社會(huì)經(jīng)濟(jì)對(duì)信息和信息系統(tǒng)的依賴越來(lái)越大，由此而產(chǎn)生的安全事件日益增加，安全問(wèn)題也層出不窮，必須高度重視。要實(shí)現(xiàn)信息安全，不僅需要從安全技術(shù)和安全產(chǎn)品方面來(lái)實(shí)現(xiàn)，更應(yīng)該從信息安全管理的角度來(lái)考慮。 信息安全管理通過(guò)風(fēng)險(xiǎn)評(píng)估模型來(lái)識(shí)別風(fēng)險(xiǎn)大小，按照制訂的風(fēng)險(xiǎn)管理策略和安全控制措施把風(fēng)險(xiǎn)降低到一個(gè)可接受的程度，以實(shí)現(xiàn)相對(duì)的信息安全。在信息安全管理體系建設(shè)過(guò)程中，風(fēng)險(xiǎn)評(píng)估是第一步工作，風(fēng)險(xiǎn)評(píng)估的結(jié)果決定了組織應(yīng)

2、該采取的安全策略和在信息安全上投入的資源和人力，同時(shí)直接影響了組織的運(yùn)營(yíng)和業(yè)務(wù)。因此，風(fēng)險(xiǎn)評(píng)估是實(shí)現(xiàn)信息安全管理的關(guān)鍵和保障。 本文深入學(xué)習(xí)和研究信息安全風(fēng)險(xiǎn)評(píng)估相關(guān)理論和ISO 27001標(biāo)準(zhǔn)，對(duì)比分析了國(guó)內(nèi)外常見的風(fēng)險(xiǎn)評(píng)估模型和方法，提出了改進(jìn)的風(fēng)險(xiǎn)評(píng)估模型和風(fēng)險(xiǎn)評(píng)估值計(jì)算方法，使改進(jìn)的風(fēng)險(xiǎn)評(píng)估模型與信息安全管理體系更好地結(jié)合，同時(shí)使計(jì)算的風(fēng)險(xiǎn)評(píng)估值更加精確，為組織采取更優(yōu)的風(fēng)險(xiǎn)控制措施打好的基礎(chǔ)。 在實(shí)踐中，改進(jìn)的