论文部分内容阅读
随着互联网的飞速发展,信息技术在人们日常生活、国家政治、教育、经济等领域得以广泛运用。同时,现代企业运作也不可避免地更加依赖信息和信息处理系统。但是在这网络信息共享的时代,网络安全风险必然存在,信息系统的安全性受到来自许多方面的威胁,信息安全问题有可能会影响企业的发展前程以及在行业中的竞争力。信息安全评估能够识别系统中的威胁及安全漏洞,评估系统中的安全状况,使得企业采取有效的管理措施主动将信息风险控制在可接受的范围内。因此,作为一项企业管理者不得不掌握的管理技能,信息安全评估被提上了研究议程,至今一直是国内外信息安全领域的研究热点,国内外已建立了一系列信息安全风险评估标准,学术界也有一些相关的研究成果,但存在问题有待解决。 本论文概述信息安全管理的常用方法和相关的国际安全标准,并分析信息安全问题产生的来源。本文的主体重点是以2006年国务院信息化工作办公室颁布的《信息安全风险评估指南》为指导,参考相关的国内外评估方法、管理控制思想及风险计算方法,设计一套具有可操作性的半定量信息安全风险评估模型。此半定量模型是实现定量分析非常困难时采取的一种则中办法,对一些可以明确赋予数值的要素采用定量方法直接赋予数值,对难以赋值的要素使用定性方法,并针对信息安全风险评估的不确定性和当前评估手段的主观性,将模糊综合分析法与层次分析法有机结合,以实现对风险因素的主、客观评估的要求。这样在清晰地分析重要资产的风险情况,同时简化分析的计算过程,提高分析结果的客观性和准确度。本文结合实例,针对A重工企业较高的信息安全管理需求,详细设计了一种具体的信息安全风险评估流程。在本文的最后提出了A重工企业信息安全深度发展的对策。通过案例分析,描述了风险评估方法在实际问题中的应用,并在实践过程中得到了认证。