信息安全风险评估实施模型研究

信息安全研究 ›› 2018, Vol. 4 ›› Issue (10): 934-939.

信息安全风险评估实施模型研究

张益,霍珊珊,刘美静

信息产业信息安全测评中心

收稿日期:2018-10-11 出版日期:2018-10-15 发布日期:2018-10-11
通讯作者: 张益
作者简介: 张益硕士，高级工程师，主要研究方向为信息安全、安全评估技术等霍珊珊学士，工程师，主要研究方向为信息安全、安全评估技术等刘美静学士，工程师，主要研究方向为信息安全、安全评估技术等

Research on the Implementation Model of Information Security Risk Assessment

Received:2018-10-11 Online:2018-10-15 Published:2018-10-11

摘要/Abstract

摘要： 信息风险评估是风险管理和控制的核心组成部分，但实施过程中存在一些问题.基于正在修订的国家标准，针对评估实施中的问题，提出了高阶信息安全风险评估、详细信息安全风险评估和先详细信息安全风险评估再高阶信息安全风险评估3种实施模型.通过3种模型的研究，探讨不同情况下如何更好地开展信息安全风险评估工作，并将标准修订核心内容落实到工作环节中.通过实际案例表明，3种模型能够有效解决当前评估对象受限、缺少针对业务层面的信息安全风险评估、缺少业务或组织整体风险评估的依据或方法等问题.3种模型能够有效地指导信息安全风险评估工作，满足从资产到业务、从个体到整体等不同方面的评估需求，为决策和实施安全措施提供可靠的依据.

关键词: 风险评估, 实施模型, 高阶信息安全风险评估, 详细信息安全风险评估, 业务信息

Abstract: Information risk assessment is the core component of risk management and control, but there are some problems in the process of implementation. Based on the revised national standards, this paper proposes three implementation models for the implementation of information security risk assessment, namely, High-level Information Security Risk Assessment Implementation Model. Detailed Information Security Risk Assessment Implementation Model, Detailed Information-High-level Information Security Risk Assessment Implementation Model. Through the study of three models, this paper discusses how to carry out the risk assessment of information security better under different circumstances, and puts the core content of the standard revision into the work. The actual cases show that the three models can effectively solve problems such as the limitations of current evaluation objects, the lack of information security risk assessment at the business level, and the lack of the basis or method for the overall risk assessment of the business or organization. The three models can effectively guide the information security risk assessment, meet the assessment needs from asset to business, from the individual to the whole, and provide a reliable basis for decision-making and implementation of security measures.

Key words: risk analysis, implementation model, high-level information security risk assessment, detailed information security risk assessment, business information security

张益霍珊珊刘美静. 信息安全风险评估实施模型研究[J]. 信息安全研究, 2018, 4(10): 934-939.

[1]	何作峰李华中张宝琨. 某油田采油作业区工控安全技术研究[J]. 信息安全研究, 2019, 5(8): 696-702.
[2]	崔越王思叶诸邵忆. 三叉戟”核潜艇存在严重网络安全隐患的启示[J]. 信息安全研究, 2019, 5(7): 586-591.
[3]	赵海陈芳. 电子支付信息安全管理体系的研究与实践[J]. 信息安全研究, 2019, 5(6): 534-541.
[4]	王智. 互联网广告精准化营销中个人信息保护的路径构建[J]. 信息安全研究, 2018, 4(8): 760-768.
[5]	孙明亮位华王琰. 风险评估服务能力成熟度模型研究[J]. 信息安全研究, 2018, 4(10): 889-897.
[6]	刘璐贺强. 网络安全风险评估在电子政务中的实践[J]. 信息安全研究, 2018, 4(10): 898-903.
[7]	魏晓雷刘龙涛. 电力行业工业控制系统信息安全风险评估研究[J]. 信息安全研究, 2018, 4(10): 904-913.
[8]	韦早裕吴鸣旦马楠雷敏毕伟. 基于博弈模型的物联网系统漏洞风险评估[J]. 信息安全研究, 2018, 4(10): 914-921.
[9]	葛晓囡林玉堂黄振博王焱. OCTAVE风险评估方法在电子政务外网的应用[J]. 信息安全研究, 2018, 4(10): 922-927.
[10]	高亚楠刘丰陈永刚. 信息安全风险管理标准体系研究[J]. 信息安全研究, 2018, 4(10): 928-933.
[11]	王笑成林芳翟亚红. 信息安全风险评估服务资质认证发现[J]. 信息安全研究, 2018, 4(10): 946-953.
[12]	章恒. 云计算环境的风险评估研究[J]. 信息安全研究, 2017, 3(10): 0-0.
[13]	王琳胡晓勤. 一种实时网络风险可视化技术研究及实现[J]. 信息安全研究, 2016, 2(2): 180-185.
[14]	潘雪霖1,2,3 孙伟1,4. 基于GB/T 20984-2007 风险评估计算模型的研究[J]. 信息安全研究, 2015, 1(1): 54-59.