企業(yè)信息安全風險自評估模型研究.pdf

1、信息技術(shù)是推動經(jīng)濟發(fā)展的重要力量，能幫助企業(yè)發(fā)展，支持企業(yè)的業(yè)務(wù)擴展和創(chuàng)新。隨著我國企業(yè)信息化的不斷深入，傳統(tǒng)業(yè)務(wù)對信息系統(tǒng)的依賴日益增強，隨之而來的IT架構(gòu)也日趨龐大和復(fù)雜，同時日益嚴峻的網(wǎng)絡(luò)安全形勢和各種各樣安全威脅對企業(yè)信息管理和信息安全提出了新的挑戰(zhàn)，增加了企業(yè)的風險，信息安全管理正在成為企業(yè)信息化建設(shè)中面臨的一大課題。 安全問題不能簡單用技術(shù)解決，信息安全的核心在于風險管理，而風險評估是風險管理的基礎(chǔ)和前提。安全的動態(tài)

2、性、業(yè)務(wù)和信息系統(tǒng)的不斷變化要求企業(yè)經(jīng)常開展風險評估，自評估同內(nèi)審一樣是企業(yè)風險控制的一種基本手段。目前評估中使用的模型和方法過于理論化、依賴于個人經(jīng)驗，以致操作復(fù)雜、主觀性很強，不能很好地被企業(yè)使用，如何構(gòu)建科學、簡單、有效的自評估模型及基于模型的評估流程和方法，已成為我們必須面對和解決的迫切課題。 構(gòu)建信息安全風險自評估模型，需要確定資產(chǎn)、威脅和脆弱性三個基本要素評價指標和度量體系，其中威脅的評估是目前最困難和最主觀的環(huán)節(jié)，

3、也是本文的重點。在對目前主要的風險評估方法以及相關(guān)學者提出的評估模型研究分析的基礎(chǔ)上，結(jié)合企業(yè)自評估的需求，通過專家訪談和問卷調(diào)查獲取統(tǒng)計數(shù)據(jù)，應(yīng)用因子分析法提煉出威脅動機、威脅能力、威脅頻率、資產(chǎn)吸引力四個基本要素作為信息系統(tǒng)威脅可能性分析的評價指標；通過分析信息資產(chǎn)對企業(yè)的價值，結(jié)合相關(guān)標準和成果，提出從七個方面評價業(yè)務(wù)影響的信息資產(chǎn)價值評價方法；通過分析脆弱性與安全措施的關(guān)系，提出將考慮已有安全措施后的信息安全的三個基本方面(即機