王德正

（上海觀樂信息技術(shù)有限公司，上海 201210）

一、企業(yè)信息安全評估的內(nèi)容

1.評估企業(yè)的管理制度

企業(yè)信息安全評估在實(shí)施過程中需要評估企業(yè)的管理制度掌握企業(yè)管理制度的基本情況，分析企業(yè)管理制度的完善情況和企業(yè)管理制度的落實(shí)情況，保證企業(yè)管理制度在制度的完善性、有效性以及制度的針對性方面達(dá)標(biāo)，并根據(jù)企業(yè)的基本情況推動企業(yè)管理工作的有效落實(shí)。通過對企業(yè)管理制度的有效評估能夠衡量企業(yè)管理制度對企業(yè)管理工作的支撐力度和工作特點(diǎn)，對分析企業(yè)管理工作效果以及判斷企業(yè)管理工作是否具有代表性具有重要意義。

2.企業(yè)信息系統(tǒng)計算機(jī)安全評估

在企業(yè)信息安全評估過程中企業(yè)信息系統(tǒng)計算機(jī)安全評估是重要的評估內(nèi)容，在評估過程中能夠根據(jù)評估的要求、評估的特點(diǎn)以及評估的具體狀況做好評估工作，并圍繞計算機(jī)安全評估的具體情況調(diào)整評估措施。企業(yè)信息系統(tǒng)計算機(jī)安全評估作為重要的評估內(nèi)容，在評估過程中需要掌握企業(yè)計算機(jī)的安全狀況，分析企業(yè)計算機(jī)運(yùn)行條件以及企業(yè)計算機(jī)在運(yùn)行過程中的特點(diǎn)，使企業(yè)信息系統(tǒng)計算機(jī)安全評估在實(shí)施過程中能夠圍繞企業(yè)自有的信息系統(tǒng)以及企業(yè)的管理實(shí)際做好信息系統(tǒng)的評估工作，使企業(yè)在信息安全評估過程中能夠找到評估的側(cè)重點(diǎn)，為企業(yè)的信息安全評估提供必要支持。結(jié)合企業(yè)信息安全評估的實(shí)際以及評估的具體內(nèi)容，在評估過程中既要圍繞企業(yè)安全評估的具體形式做好評估工作，同時也要根據(jù)信息安全評估的內(nèi)容和信息安全評估的實(shí)際要求做好管理工作的完善，使企業(yè)信息安全評估在實(shí)施過程中能夠提高代表性，為企業(yè)信息安全評估奠定良好的基礎(chǔ)。

二、企業(yè)信息安全風(fēng)險定量評估方法

1.企業(yè)信息安全估價的描述方法

1.1 信息保密性的評定標(biāo)準(zhǔn)。中風(fēng)險的定量評估方法至關(guān)重要，對信息安全評估的實(shí)施和評估效果的提升具有重要影響。在企業(yè)信息安全估價的描述過程中采取的描述方法較多，其中信息保密性的評價標(biāo)準(zhǔn)較為特殊，主要分為信息的高等級保密、信息的一般等級保密和信息的低層次保密，在保密評定標(biāo)準(zhǔn)的落實(shí)過程中既要根據(jù)評定的要求和特點(diǎn)做好評定工作。同時也要圍繞評定的具體條件和評定的特征做好評定工作，使系統(tǒng)安全評定能夠達(dá)到評定目標(biāo)，圍繞評定的具體情況和具體的內(nèi)容、要求做好評定工作，使系統(tǒng)在評定中能夠在信息保密性和評定標(biāo)準(zhǔn)的科學(xué)性方面達(dá)到評定要求。

1.2 信息完整性的評定標(biāo)準(zhǔn)。在企業(yè)信息安全評價過程中信息完整性的評定標(biāo)準(zhǔn)至關(guān)重要，掌握信息完整性的評定標(biāo)準(zhǔn)，對提高信息安全評價效果具有重要影響。從目前信息完整性的評定標(biāo)準(zhǔn)來看，既包括評定標(biāo)準(zhǔn)的等級，同時也包括評定標(biāo)準(zhǔn)的細(xì)節(jié)在信息中的完整性，在評定標(biāo)準(zhǔn)劃分過程中既要了解評定標(biāo)準(zhǔn)的具體情況，也要根據(jù)信息評定標(biāo)準(zhǔn)實(shí)際內(nèi)容以及信息評定標(biāo)準(zhǔn)的細(xì)節(jié)做好評定工作，保證信息評定標(biāo)準(zhǔn)在劃分和實(shí)施過程中能夠達(dá)到評價要求，為信息評定標(biāo)準(zhǔn)的建立和完善提供幫助和支持。信息安全評價既要關(guān)注信息安全本身，同時也要在信息完整性的評價方面下功夫，信息安全評價在實(shí)施過程中達(dá)到評價要求，解決評價過程中的信息完整性問題，使信息安全評價在評定標(biāo)準(zhǔn)的全面性和評定標(biāo)準(zhǔn)的有效性以及評定標(biāo)準(zhǔn)的實(shí)施過程中達(dá)到評定要求。圍繞信息安全評定的要求和具體內(nèi)容，在評定過程中既要了解評定的實(shí)際情況，同時也要根據(jù)評定的具體內(nèi)容細(xì)化評定標(biāo)準(zhǔn)，使信息完整性的評定標(biāo)準(zhǔn)能夠達(dá)到評價要求，圍繞信息安全評價的具體情況以及評價的實(shí)施要點(diǎn)，在評定標(biāo)準(zhǔn)的掌握方面需要以信息安全評價的實(shí)際需求為出發(fā)點(diǎn)，確保信息完整性評價達(dá)到評價要求。

2.企業(yè)信息安全威脅程度的量化方法

企業(yè)信息安全的威脅通常定義為潛在的破壞性因素或突發(fā)事件。威脅是客觀存在的，既可能來自于系統(tǒng)的用戶（合法用戶或非法入侵）操作，也可能來自系統(tǒng)的物理組件的損壞。

企業(yè)在信息安全威脅程度的量化過程中選擇的安全威脅程度、量化方法對衡量信息安全程度以及提高信息安全評價效果具有重要影響。在企業(yè)信息安全威脅程度的量化過程中，既要關(guān)注信息量化的標(biāo)準(zhǔn)，同時也要關(guān)注信息量化的具體情況，根據(jù)信息量化的具體內(nèi)容和信息量化的要求做好量化分析工作。結(jié)合企業(yè)信息安全評價工作的要求和具體內(nèi)容，在信息安全評價過程中要圍繞信息安全評價的具體情況做好分析工作。

3.信息系統(tǒng)脆弱性的量化方法

信息系統(tǒng)脆弱性的評估和系統(tǒng)面臨的威脅是緊密相關(guān)的，所有的實(shí)際威脅都是利用系統(tǒng)安全的薄弱環(huán)節(jié)來發(fā)揮破壞性作用的。信息系統(tǒng)脆弱性的量化方法在評價過程中具有重要影響，掌握信息系統(tǒng)脆弱性的量化方法對提高評價效果和滿足評價要求具有重要影響。結(jié)合信息系統(tǒng)脆弱性的量化評價實(shí)際，在評價過程中能夠根據(jù)評價的特點(diǎn)和要求以及評價的具體實(shí)施需要做好評價方法的優(yōu)選，使評價方法在應(yīng)用過程中達(dá)到應(yīng)用要求滿足應(yīng)用實(shí)際，解決信息系統(tǒng)脆弱性的量化分析問題，使信息系統(tǒng)在脆弱性量化分析過程中能夠達(dá)到分析目標(biāo)。

結(jié)語

通過對企業(yè)信息安全評價工作的了解，在信息安全評價工作中既要了解安全評價的重要性，同時也要分析和判斷安全評價工作的實(shí)施效果，使信息安全評價工作在實(shí)施過程中能夠達(dá)到評價要求。圍繞評價的具體情況制定科學(xué)的評價措施，并采取正確的評價方法解決評價過程中存在的問題，使信息安全評價工作在實(shí)施環(huán)節(jié)能夠取得實(shí)效，并根據(jù)信息安全評價工作的特點(diǎn)制定有效的工作措施，推動企業(yè)信息安全評價工作的落地實(shí)施。所以，了解企業(yè)信息安全評價工作特征，并做好信息安全評價工作，對提高企業(yè)信息安全質(zhì)量和滿足企業(yè)信息安全管理要求具有重要影響。