信息安全工程师考试资料：信息安全风险评估

信息安全风险评估，则是指依据有关信息安全技术标准，对信息系统及由其处理，传输和存储的信息的保密性，完整性和可用性等安全属性进行科学评价的过程，它要评估信息系统的脆弱性，信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响，并根据安全事件发生的可能性和负面影响的程度来识别信息系统的安全风险；任何系统的安全性都可以通过风险的大小来衡量。

风险评估：指确定在计算机系统和网络中每一种资源缺失或遭到破坏对整个系统造成的预计损失数量。

风险评估的过程：

① 确定资产

② 脆弱性和威胁分析

③ 制定及评估控制措施

④ 决策

⑤ 沟通与交流

⑥ 监督实施