业务安全信息风险评估

信息安全的目标是保护信息的保密性(Confidentiality)、完整性(Integrity)和可用性(Availability)。

保密性、完整性和可用性都是相对于业务而言的，即基于业务所要求来控制发布访问范围、按照业务的需要来授权信息的修改和保证信息为业务在需要的时候可用。

[separator]

 

因此信息安全首先必须清楚要保护的业务信息对象和这些对象可能遭遇的风险。业务信息风险评估(Risk Assessment)正是为此目的而执行的。在采取任何信息安全控制之前，如果缺乏充分的风险评估，那么所采取的安全控制则缺乏针对性，这样非常可能对应用的信息安全无济于事。

 

业务信息风险评估包括两个部分，一个部分是风险分析(Risk Analysis)，其主要任务是识别保护业务对象、对保护对象的威胁和可能的风险。另一部分是风险评价(Risk Evaluation)，其主要任务是根据预先定义的准则来评判风险的值和并根据风险值来确定风险处置的优先级。

风险评估方法论分析过程包括三个阶段：

 

其中：

   业务分析 – 业务分析阶段的主要目的是识别业务线(LOB)和支持业务线的关键信息资产和相关的关键IT资产（如数据服务器）。

   风险分析 – 风险分析阶段的主要目的是识别业务信息环境中存在的弱点(Vulnerability)、威胁(Threat)、威胁方(Threat agent)、威胁发生的可能性和发生对业务造成的影响。

   风险评估 – 风险评估阶段的主要目的是基于风险分析的结果和预先制定的规则（如高、中、低，或1~10风险程度值）来进行风险评价。评价的结果再基于业务的进行调整，得到符合业务需求的风险判断，然后排列出风险处置优先级。

  风险评估的输出包括业务清单、保护资产清单、风险清单。此外，一些支持性过程纪录包括在输出中。