建立健全信息安全风险评估的工作机制--信息安全专家赵战生访谈

作为国家信息安全保障的重要基础性工作，信息安全风险评估在信息体系建设的各个阶段扮演着重要的角色。据悉，2003年7月，国信办信息安全风险评估课题组就启动了信息安全风险评估相关标准的编制工作，今年下半年，国家还将对信息安全风险评估进行试点，全国信息安全风险评估工作指导意见也有望于今年内出台。日前，本刊记者就相关话题采访了我国著名信息安全专家，信息安全风险评估课题组成员赵战生。     

美国信息安全风险评估探析

本文介绍分析了美国信息安全风险评估,并阐述了其对我国信息安全风险评估的启示。     

信息安全风险评估:既要勇于探索,又需谨慎前行

从去年开始，国信办组织了8个试点单位在试点单位所主管或运营的部分网络和信息系统中，围绕不同环节，开展了一次信息安全风险评估试点工作。为了做好试点工作，在国信办安全组领导下，组建了由信息安全主管部门代表和一批业界专家组成的信息安全风险评估课题组，课题组秘书处设在国家信息中心，同时委托国家信息中心牵头负责试点的具体工作，同时明确了课题组的三项任务：进一步完善“全国信息安全风险评估工作意见”，开展信息系统安全风险评估试点，做好信息安全风险评估宣传。     

加强信息安全风险评估工作的研究

简要介绍国内外信息安全风险评估工作的发展过程,指出各应用领域或各组织进行信息安全风险评估的重要性。阐述了信息安全风险评估需要解决的问题,介绍目前在信息安全风险评估领域所采取的主要方法,并对这些方法进行分析和评价。探讨信息安全风险评估工作的流程,并展望了信息安全风险评估的发展前景。     

军队院校网络信息安全风险评估工作研究

本文分析并总结了网络信息安全风险评估在军队院校的认识误区,阐明了军校开展风险评估工作对军校网络信息安全所起的重要意义,探讨了开展军校网络信息安全风险评估工作的方法措施。     

信息安全风险评估方法研究——基于"资产-威胁"评价指数矩阵风险分析方法研究

信息安全风险评估是组织信息安全的基础和前提,也是信息安全保障的重要内容。该文介绍了信息安全及其信息安全风险评估概念,然后对信息安全风险评估因素、方法进行了分析,并提出基于"资产—威胁/脆弱性"评价指数矩阵风险分析方法。     

军校网络信息安全风险评估工作探讨

为了进一步加强军校网络信息系统的安全管理,全面、经常性地开展军校网络信息安全风险评估工作势在必行。结合对军校信息网络安全管理工作的调查研究,从技术和管理角度对网络信息安全风险评估的相关问题进行了探讨：分析了网络信息安全风险评估在军校中的认识误区;总结了开展军校网络信息安全风险评估工作的主要问题;提出了解决现存问题的改进思路。     

定量的信息安全风险评估计算模型的研究

为解决信息安全风险评估过程中信息难以量化分析的问题,在原有定性风险评估方法的基础上,提出一种定量的信息安全风险评估方法。通过对风险的量化分析,使得信息安全风险评估过程中风险值的计算更加科学和准确,解决了以往定性分析方法数据计算粗略、不准确和难于区分风险的重要程度等问题。通过信息安全风险评估过程中的实际应用,表明该方法具有一定的可行性。     

信息安全风险评估在构筑信息安全保障体系中的作用与地位

近年来,我国面临的信息安全形势十分严峻,对信息安全的保障需求日益提高,从而加大了对信息安全保障体系建设的迫切性。其中,作为衍生于信息安全保障体系建设过程中,又指导着信息安全保障工作开展的信息安全风险评估理论和实践,既是一个重要手段和补充,又是一个安全评估在信息技术领域应用的崭新领域。如何利用信息安全风险评估构筑信息安全保障体系,成为当前信息安全保障工作的重要课题。文章主要从信息安全需求、信息安全保障过程中实际存在的困难以及信息安全风险评估的理论等三个方面的论述,并针对信息安全风险评估在构筑信息安全保障体系中的作用与地位的问题展开探讨和研究,最后阐述了信息安全风险评估的实践理论对信息化安全保障工作的启示意义。     

做好信息安全风险评估的策划

本文提出了组织在进行信息安全风险评估时，在策划阶段应关注的一些问题，以保证整个风险评估过程的有效性。     

基于CORAS框架的信息安全风险评估方法

介绍了信息安全风险评佑的现状、相关准则以及基于CORAS框架的信息安全风险评估方法,并利用层 .次分析法对可能存在的风险进行量化,最后利用网上电子银行系统的实例,证明了该方法可以很好地适用于信息安全风险评估.     

信息网络安全司局长论坛

信息安全风险评估是信息安全建设和管理的科学方法，风险评估实际上是在倡导一种适度安全，重视风险评估是信息化发达国家的重要经验。[编者按]     

信息系统安全风险评估技术分析

信息系统安全的风险评估是建立信息系统安全体系的基础和前提。在对国内外现有的信息安全风险评估方法与技术进行归纳和较系统的介绍的基础上,指出了目前信息安全风险评估需要解决的问题,对未来信息系统安全风险评估的发展前景进行了分析。     

信息安全风险的分析和计算原理

信息安全风险评估是一项复杂的系统工程，涉及到的因素很多，内在关系也很复杂。目前，国内外有许多信息安全风险评估的方法，其角度和侧重点都不尽相同。尽管方法不同，但从分析原理和计算原理上看，呈现出许多相似和共性之处。抓住和理清这些共性，研究信息安全风险评估的基本规律，完善其理论基础，可以从根本上提高信息安全风险评估的实践水平。     

多层次模糊综合评判法在信息安全风险评估中的应用

从信息安全风险评估的原理和研究现状入手,提出了基于层次分析法（AHP）和模糊综合评判的信息安全风险评估的方法,解决了风险评估中定性指标定量评估的难点.最后给出实例,证明该方法能有效地应用于信息安全风险评估.     

军队院校网络信息安全风险评估研究

本文阐述了对信息安全风险评估问题的认识,通过构建风险评估模型及量化方法,结合评估过程实例,分析了目前用于军队院校网络系统安全风险评估的主要过程,并针对网络信息安全风险评估结果中存在的问题,研究了相应可行的方法对策。     

信息安全风险评估方法综述

对主要的信息安全风险评估方法进行了综述性讨论,指出了以ALE-based为代表的定量方法没能推广的原因,介绍了当前世界上通用的风险评估方法及存在的问题,并指出风险评估方法的发展趋势。     

基于AHP和模糊综合评判的信息安全风险评估

从信息安全风险评估的原理和研究现状入手,提出了基于层次分析法（AHP）和模糊综合评判的信息安全风险评估的方法,解决了风险评估中定性指标定量评估的难点。最后给出实例,证明该方法能有效地应用于信息安全风险评估。     

信息安全风险评估标准研究

信息安全风险评估不仅是有效保证信息安全的前提,也是制定信息安全管理措施的依据之一。信息安全风险评估标准作为风险评估的基础与依据,在评估过程中更是发挥着越来越重要的作用。通过将信息安全风险评估标准划分为管理类、技术类、评估方法类等三类标准,并以标准制定的目标为依据在各类内进行标准的异同比较与分析,以期能够更好的指导我国信息安全风险评估工作。     

定量的信息安全风险评估计算模型的研究

讨论了信息安全风险评估计算模型相关问题.在原来定性风险评估计算模型的基础上,提出了一种定量的信息安全风险评估计算模型并将其运用在信息安全风险评估过程中,使信息安全风险评估分析过程中进行风险值的计算更加科学和准确,解决了以往定性的计算模型的数据计算粗略、不准确和多个风险值集中于一个相同的风险等级中,区分不出风险的重要性等问题.