信息系统风险评估及风险管理对策研究

  本文关键词：信息系统风险评估及风险管理对策研究，由笔耕文化传播整理发布。

信息系统风险评估及风险管理对策研究

摘要：随着当今日新月异的科学技术发展和信息化技术迅猛的更新换代之势，科技信息技术系统已经成为人类社会发展必不可缺少的一部分。除了人们日常生活、交流中对于信息系统的不可缺，连国家政治军事、经济发展等重要特殊领域都离不开信息系统应用，可以说信息系统的分布已经覆盖着人类社会的方方面面，整个社会的发展进程已经完全依赖于信息系统的使用。建立一个精锐、安全的信息系统已经成为当今世界各国确保社会和谐安定、政治稳定和经济有序发展的重要保障手段。

关键词：信息系统；风险；评估；管理

在当前迅猛的科技信息技术传播更新下，对于信息安全管理的工作也发生了重大的改变，其从传统单一的技术管理手段改变为技术与管理两者相结合的较全面综合管理手段；其从局部的管理模式改变到对于全局管理的系统管理模式；从最初存在较多问题的不完善经验式管理改变到目前具有着分明的安全等级科学管理模式等。在风险评估上也从评估对象的综合评估转变到个因评估、从目前的现今评估发展到对未来趋势的评估；又从静态的评估方式转变到动态评估方式；从最初的手动风险评估转变到今天的全自动技术自动评估；从信息风险的定量评估改变到定性与定量两者相结合等，以上的改变都证实了我国在信息安全管理上不断努力的成效。结合目前我国信息系统的现状来说，在现有基础上对于相关信息系统科学理论、方法的更进一步完善与创新，是势在必行的，也是确保信息系统风险评估与管理工作不断完善的必要前提。

一、信息系统风险评估方法的研究现状

1.基于专家系统的风险评估工具

这种方法经常利用专家系统建立规则和外部知识库，通过调查问卷的方式收集组织内部信息安全的状态。对重要资产的威胁和脆弱点进行评估，产生专家推荐的安全控制措施。这种工具通常会自动形成风险评估报告，安全风险的严重程度提供风险指数，同时分析可能存在的问题，以及处理办法。

2.基于定性或定量算法的风险分析工具。

风险评估根据对各要素的指标量化以及计算方法不同分为定性和定量的风险分析工具。风险分析作为重要的信息安全保障原则已经很长时间。信息安全风险分析算法在很久以前就提出来，而且一些算法被作为正式的信息安全标准。这些标准大部分是定性的——也就是，他们对风险产生的可能性和风险产生的后果基于“低/中/高”这种表达方式，而不是准确的可能性和损失量。随着人们对信息安全风险了解的不断深入，，获得了更多的经验数据，因此人们越来越希望用定

  本文关键词：信息系统风险评估及风险管理对策研究，由笔耕文化传播整理发布。