浅析涉密信息系统安全保密策略、安全审计、风险评估之间的关系(2)

　　风险的计算方法：风险值=R（A，T，V）=R（L（T，V），F（Wa，Va））

　　其中，R表示安全风险计算函数；A表示资产值； V 表示脆弱性；T表示威胁； Wa表示安全事件所作用的资产价值； Va表示资产脆弱性严重程度；L表示威胁利用资产的脆弱性导致安全事件的可能性；F 表示安全事件发生后造成的损失。

　　为实现对风险的控制与管理，可以对风险值进行等级化处理，可将风险划分为五级，等级越高，风险越高。

　　5 安全保密策略、安全审计、风险评估之间的关系

　　信息系统的安全是一个动态的复杂过程，它贯穿于信息系统的整个生命周期。安全保密策略、安全审计、风险评估正是让这个动态的复杂的安全管理体系形成一个闭环。

　　安全保密策略担任着指导员的角色，指导和规范涉密信息系统各类操作和流程的具体操作实施，使相关人员有章可循，知道什么能做，什么不能做以及怎样做。

　　安全审及担任着巡视员的角色，通过巡查记录了系统总体运行情况，及时发现系统中的安全隐患或安全事件，对系统进行相应的修补或补救。通过安全审计工作，管理人员能够清楚系统内安全策略的执行情况，为信息系统安全保密策略制定、风险评估提供数据支撑。

　　风险评估担任着评估员的角色，通过开展信息安全风险评估工作，可以发现信息系统安全防护存在的问题和薄弱环节，并通过风险评估分析法，科学分析系统面临的风险，为风险预防、风险控制、风险转移、风险分散等决策提供理论支持。风险评估结果为安全保密策略调整和更新指明了方向，是制订安全策略和实施安全防护措施的依据。可以说风险评估是信息系统安全建设的起点和基础。

　　6 结束语

　　安全保密策略是涉密信息系统安全运行的依据，安全审计是及时发现涉密信息系统安全隐患和安全事件的有力手段，风险评估是准确定位系统风险点及风险值的分析方法。

　　合理的安全保密策略、安全审计、风险评估是建立一套针对企业自身特点的涉密信息系统安全保密管理体系的重要组成要素，只有将三者互相联系起来，结合信息系统的组织体系、安全体系，才能整体提高涉密信息系统的安全稳定性。

　　参考文献

　　[1] 杜虹.涉密信息系统安全风险评估的探讨[J].信息安全与通信保密，2004，6：20-23.

　　[2] 何东璠.涉密信息系统安全保密策略架构分析[J].保密科学技术，2011，05：53-54.

　　[3] 张文涛.信息化环境下安全保密工作探讨[J].保密科学技术，2011，08：40-41.

　　[4] 郭夏言.基于ISMS思想的涉密信息系统安全保密管理体系框架研究与构建[J].保密科学技术，2011，08：14-16.

　　论文榜（www.zglwb.com），是一个专门从事期刊推广、投稿辅导的网站。
本站提供如何投稿辅导，寻求投稿辅导代理，快速投稿辅导，投稿辅导格式指导等解决方案：省级投稿辅导/国家级投稿辅导/核心期刊投稿辅导//职称投稿辅导。


期刊鉴别	论文检测	免费论文	特惠期刊	学术答疑	发表流程

搜索

浅析涉密信息系统安全保密策略、安全审计、风险评估之间的关系(2)