六、知識子域：安全評估

閱讀提示 本知識域包括信息安全評估相關(guān)的知識，包括安全評估相關(guān)基礎(chǔ)知識、安全評估標準及信息系統(tǒng)審計三個知識域。學員通過學習需要掌握安全評估的相關(guān)概念、安全評估的實現(xiàn)方法及安全審計相關(guān)內(nèi)容。

6.1  知識子域：安全評估基礎(chǔ)

評估是建立風險管理的基礎(chǔ)，安全評估是建立在風險管理有效的背景支持下的重要環(huán)節(jié)。通俗而言，我們把安全評估也會稱作風險評估或者安全風險評估。本章節(jié)也是對風險管理知識子域的重要補充和支撐。

6.1.1  安全評估概念

1.安全評估基本概念

安全評估也稱作風險評估，是針對事物潛在影響正常執(zhí)行其職能的行為產(chǎn)生干擾或者破壞的因素進行識別、評價的過程。可將其分為狹義和廣義二種j狹義指對一個具有特定功能的工作系統(tǒng)中固有的或潛在的危險及其嚴重程度所進行的分析與評估，并以既定指數(shù)、等級或概率值做出定量的表示，最后根據(jù)定量值的大小決定采取預防或防護對策。廣義指利用系統(tǒng)工程原理和方法對擬建或已有工程、系統(tǒng)可能存在的危險性及其可能產(chǎn)生的后果進行綜合評價和預測，并根據(jù)可能導致的事故風險的大小，提出相應(yīng)的安全對策措施，以達到工程、系統(tǒng)安全的過程。

信息化技術(shù)日益快速的發(fā)展使得各種平臺、應(yīng)用相互關(guān)聯(lián)，并且不斷在變更，而組織機構(gòu)對于信息安全投入有限，如何采取所有必要措施保護組織的資產(chǎn)是組織機構(gòu)不可避免要面對的問題。環(huán)境越復雜，就越需要這種措施和控制來保證組織業(yè)務(wù)流程的連續(xù)性。