信息安全風險評估活動旨在通過提供基於事實的信息並進行分析,就如何處理特定風險以及如何選擇風險應對策略進行科學決策。信息安全風險評估作爲風險管理活動的組成部分,信息安全風險評估提供了一種結構性的過程以識別目標如何受各類不確定性因素的影響,並從後果和可能性兩個方面來進行風險分析,然後確定是否需要進一步處理。
萬方安全信息安全風險評估高級顧問回答以下基本問題:
(1)會發生什麼以及爲什麼(通過風險識別)?
(2)後果是什麼?
(3)這些後果發生的可能性有多大?
(4)是否存在一些可以減輕風險後果或者降低風險可能性的因素?
(5)風險等級是否可容忍或可接受?
是否要求進一步的應對和處理?開展信息安全風險評估工作的主要益處包括以下方面:
(1)認識風險及其對目標的潛在影響;
(2)爲決策者提供信息;
(3)有助於認識風險,以便幫助選擇應對策略;
(4)識別那些造成風險的主要因素,揭示系統和組織的薄弱環節;
(5)有助於明確需要優先處理的風險事件;
(6)有助於通過事後調查來進行事故預防;
(7)有助於風險應對策略的選擇;
(8)滿足監管要求。