信息安全风险评估若干问题探讨

随着信息技术的发展与信息网络系统的广泛应用，信息系统 的安全变得尤为重要。而对信息系统安全的风险评估则是保障 信息系统安全的关键。目前，信息系统安全评估的国家标准《信 息安全技术 信息安全风险评估规范》(GB／T 20984—2007)…(以 下简称《评估规范》)提出了风险评估的基本流程和评估框架，在 一 定程度上指导了用户从风险管理角度系统、科学地分析信息系 统安全风险，最终提出有针对性的防护措施。但在实际的评估过 程中发现，《评估规范》中的部分方法比较粗燥和简单，个别地方 存在交叉或容易混淆的情况 ，使用过程中可能对评估工作造成不 便、最终影响评估结果的准确性。