网络信息安全风险评估-风险评估的意义

学习《计算机网络安全》

风险评估的意义

长期以来,人们对保障信息安全的手段偏重于依靠技术,从早期的加密技术、数据备份、防病毒到近期网络环境下的防火墙、入侵检测、身份认证等。厂商在安全技术和产品的研发上不遗余力,新的技术和产品不断涌现;消费者也更加相信安全产品,把仅有的预算投入安全产品的采购上。

但实际情况是,单纯依靠技术和产品保障企业信息安全往往不够。复杂多变的安全威胁和隐患靠产品难以消除。“三分技术,七分管理”,这个在其他领域总结出来的实践经验和原则,在信息安全领域也同样适用。

根据有关部门披露的数字,在所有的计算机安全事件中,约有52%是人为因素造成的,25%是由火灾、水灾等自然灾害引起的。其中技术错误占10%,组织内部人员作案占10%,仅有3%左右是由外部不法人员的攻击造成的。

不难看出,属于内部人员方面的原因超过70%,而这些安全问题中的95%可以通过科学的信息安全风险评估来避免。

可见,对于一个企业来说,搞清楚网络信息系统现有以及潜在的风险,充分评估这些风险可能带来的威胁和影响,是企业实施安全建设必须首先解决的问题,也是制订安全策略的基础与依据。

风险评估的意义在于对风险的认识,而风险的处理过程,可以在考虑了管理成本后,选择适合企业自身的控制方法,对同类的风险因素采用相同的基线控制,这样有助于在保证效果的前提下降低风险评估的成本。

你可能感兴趣的:(网络信息安全风险评估-风险评估的意义)