什麼是資訊保安風險評估？資訊保安風險評估的步驟？

　　資訊保安風險評估是一項非常重要的工作，但很多人對它的瞭解並不是很透徹，甚至有人不知道什麼是資訊保安風險評估，接下來我們透過這篇文章為大家詳細講解一下。

　　什麼是資訊保安風險評估?

　　資訊保安風險評估是參照風險評估標準和管理規範，對資訊系統的資產價值、潛在威脅、薄弱環節、已採取的防護措施等進行分析，判斷安全事件發生的機率以及可能造成的損失，提出風險管理措施的過程。當風險評估應用於IT領域時，就是對資訊保安的風險評估。

　　系統存在著脆弱性，就是我們常說的技術上的漏洞，可以被利用的漏洞，我們有時候講脆弱性。再加上人為或自然的威脅，導致一些資訊保安事件的發生的可能性及其造成的影響，特別是負面影響。也就是說脆弱性和威脅是原因，可能性和影響是結果，當然還有一些其他的要素。

　　資訊保安風險評估是指對資訊系統及其處理的傳輸和儲存的資訊的保密性、完整性和可用性等安全屬性進行科學識別和評價的過程。

　　風險評估從早期簡單的漏洞掃描、人工審計、滲透性測試這種型別的純技術操作，逐漸過渡到目前普遍採用國際標準的BS7799、ISO17799、國家標準《資訊系統安全等級評測準則》等方法，充分體現以資產為出發點、以威脅為觸發因素、以技術/管理/執行等方面存在的脆弱性為誘因的資訊保安風險評估綜合方法及操作模型。

　　資訊保安風險評估的步驟

　　1、風險辨識

　　進行評估之前，需要先對每一個業務中的單元、各種相關的活動、以及業務流程裡面的重要環節都進行反覆的排查與辨識，看看這些專案都有著什麼樣的風險，這樣子才能夠在大體上面對於風險情況有一個估計，做出一個基礎的判斷。

　　2、風險分析

　　在那些有風險辨識度的專案或是流程上面，進行仔細的分析，看看這些風險的特徵是什麼，並且使用明確的定義來進行描述，從而能夠更為精準，特別是使用數字或是擋位定義來明確這些風險的發生條件、以及風險的程度高低，從而使得人們都能夠對於這些風險的發生可能性、以及所會造成的後果有著更為直觀的認知。

　　3、風險評價

　　最後一步就是進行風險的最終評價了，也就是進行正式的風險評估，將企業方案、或是運營目標的最終影響程度、以及風險的可能性與價格、可能的後果都進行明確的量化評估，從而使得使用者可以更為明確地瞭解到自己是否應該繼續這個方案，是否足以承擔相關風險。