信息安全风险评估指的是在风险事件发生之前或之后但是没有结束的情况下,给企业的资产以及名誉等方面造成的损失和影响的可能性进行量化评估的工作。风险评估主要是通过分析识别手段对内部风险和外部风险进行确认和衡量。企业通过对风险进行评估从而采取相应措施来处理风险。风险的评估对企业实现其目标以及经营前景有着至关重要的影响。对企业的风险进行评估,可以帮助发现风险的所在以及风险的大小,从而可以依此做出相应的解决措施。
从信息安全角度来看,风险评估是对企业信息资产面临的威胁、存在的弱点以及造成的影响带来的风险的可能性的评估与衡量。
风险评估的任务主要包括:
①对于事件面临的各种风险进行识别评估;
②评估风险发生的概率以及可能引致的负面影响;
③对企业或组织能承受风险的能力进行识别确定;
④对风险的消减以及控制的优先等级进行确认;
⑤推荐消减乂险的对策措施。
