为什么要做信息安全风险评估

1.风险评估是信息系统安全的基础性工作
• 信息安全中的风险评估是传统的风险理论和方法在信息系统中的运用，是科学地分析和理解信息与信息系统在保密性、完整性、可用性等方面所面临的风险，并在风险的减少、转移和规避等风险控制方法之间做出决策的过程。
• 风险评估将导出信息系统的安全需求，因此，所有信息安全建设都应该以风险评估为起点。信息安全建设的最终目的是服务于信息化，但其直接目的是为了控制安全风险。
• 只有在正确、全面地了解和理解安全风险后，才能决定如何处理安全风险，从而在信息安全的投资、信息安全措施的选择、信息安全保障体系的建设等问题中做出合理的决策。
• 进一步，持续的风险评估工作可以成为检查信息系统本身乃至信息系统拥有单位的绩效的有力手段，风险评估的结果能够供相关主管单位参考，并使主管单位通过行政手段对信息系统的立项、投资、运行产生影响，促进信息系统拥有单位加强信息安全建设。

2.风险评估是分级防护和突出重点的具体体现
• 信息安全建设的基本原则包括必须从实际出发，坚持分级防护、突出重点。
• 风险评估正是这一要求在实际工作中的具体体现。
• 从理论上讲，不存在绝对的安全，实践中也不可能做到绝对安全，风险总是客观存在的。
• 安全是风险与成本的综合平衡。
• 盲目追求安全和完全回避风险是不现实的，也不是分级防护原则所要求的。
• 要从实际出发，坚持分级防护、突出重点，就必须正确地评估风险，以便采取科学、客观、经济和有效的措施。

3. 加强风险评估工作是当前信息安全工作的客观需要和紧迫需求
• 由于信息技术的飞速发展，关系国计民生的关键信息基础设施的规模越来越大，同时也极大地增加了系统的复杂程度。
• 发达国家越来越重视信息安全风险评估工作，提倡风险评估制度化。他们提出，没有有效的风险评估，便会导致信息安全需求与安全解决方案的严重脱离。因此，他们强调“没有任何事情比解决错误的问题和建立错误的系统更没有效率的了。”这些发达国家近年来大力加强了以风险评估为核心的信息系统安全评估工作，并通过法规、标准手段加以保障，逐步以此形成了横跨立法、行政、司法的完整的信息安全管理体系。
• 在我国目前的国情下，为加强宏观信息安全管理，促进信息安全保障体系建设，就必须加强风险评估工作，并逐步使风险评估工作朝向制度化的方向发展。

风险评估的主体和要素

• 使命：一个单位通过信息化实现的工作任务。
• 依赖度：一个单位的使命对信息系统和信息的依靠程度。
• 资产：通过信息化建设积累起来的信息系统、信息、生产或服务能力、人员能力和赢得的信誉等。
• 价值：资产的重要程度和敏感程度。
• 威胁：一个单位的信息资产的安全可能受到的侵害。威胁由多种属性来刻画：威胁的主体（威胁源）、能力、资源、动机、途径、可能性和后果。
• 脆弱性：信息资产及其防护措施在安全方面的不足和弱点。脆弱性也常常被称为漏洞。
• 风险：由于系统存在的脆弱性，人为或自然的威胁导致安全事件发生的可能性及其造成的影响。它由安全事件发生的可能性及其造成的影响这两种指标来衡量。
• 残余风险：采取了安全防护措施，提高了防护能力后，仍然可能存在的风险。
• 安全需求：为保证单位的使命能够正常行使，在信息安全防护措施方面提出的要求。
• 安全防护措施：对付威胁，减少脆弱性，保护资产，限制意外事件的影响，检测、响应意外事件，促进灾难恢复和打击信息犯罪而实施的各种实践、规程和机制的总称。