信息安全的资产评估方法

信息安全风险评估过程，先是对资产、威胁、脆弱性、潜在影响和现有安全措施进行识别、分析和评价，然后综合这些风险要素的评估结果，得出风险的评估结果。资产是风险的第一评估要素，其他要素的评估都是以资产为前提的。也说就是，威胁评估是针对所关注资产面临的威胁，脆弱性评估是针对所关注资产自身的脆弱性，潜在影响评估是针对所关注资产失效时的负面影响，现有安全措施评估也是针对所关注资产已具备的安全措施。因此，资产评估的正确性和准确性对于后续的各风险要素及其综合评估的导向至关重要。信息安全的资产评估目的是为了明晰评估范围内与信息安全相关的资产清单、资产关系和资产价值。先是摸清家底，列出评估范围内关系到信息安全的所有资产。然后整理家底，针对资产的性质进行分类，针对资产的关系进行梳理，针对资产的价值进行分级。[编者按]