格爾信息安全論壇

伴隨著我國加入WTO以及全球信息化的發展，計算機信息系統的安全建設越來越受重視，同時我國的政府與企業也已經深刻地認識到了信息安全風險評估的重要性，並努力通過實踐來建立、健全和完善計算機信息系統的安全風險評估機制。

安全風險評估是信息系統安全防範體系的建設依據，風險評估的目的在於指出信息系統的風險所在、防範風險的代價、風險可能造成的損失，並最終依據後兩者的比較制定信息安全保障體系。需要密切關注的是，防範風險的代價和風險可能造成的損失是不斷變化的，信息安全保障體系的完善是建立在階段建設目標的不斷修正和補充基礎之上的。

在信息安全風險評估的需求方面，金融企業尤為急迫。金融企業一直以來都是信息技術發展的領路人，但是其信息安全的建設遠遠滯後於信息系統自身的建設。在金融企業逐漸認識到信息安全保障體系建設的必要性的同時，也意識到單憑直觀感覺而制定的信息安全建設目標缺乏科學依據，不能對長期的信息安全建設提供指導作用。金融企業將再一次承擔起領路人的角色，當然這是由其自身信息系統具備的基礎決定的。

安全風險評估分如下幾個過程：

1. 評估階段。信息系統將接受各種評估工具的檢測和調查，被評估的對象包括網路架構、套用系統、運行與安全管理、人員、安全策略等，評估的結果將反映信息系統在各個方面的威脅和脆弱性。

2. 評估信息智慧型化處理階段。需要對不同的評估工具所得出的原始評估數據進行深入挖掘，一方面，這些數據複雜、多樣，而且會不斷增加，因此需要按照統一的標準進行管理; 另一方面，這些數據內在的聯繫需要通過數據挖掘進行歸納分析和綜合分析。

3. 解決方案與後續建設目標階段。根據評估信息分析的結果，制定相應的建設目標與方案，其核心是把風險的價值與保護風險的價值進行比較。