信息系统安全风险评估应用：基础知识

在开始进行实际的信息系统安全风险评估操作前，先来了解一些有关信息系统安全风险评估的基础知识，明白一些与安全风险评估相关的术语，将有助于让你明了要如何才能完成一次信息系统安全风险评估。

一、我们为什么需要信息系统安全风险评估

很显然，当要我们很欣然地接受和使用某一种新技术来协助我们进行安全防范工作时，这种技术就必需有能够驱使我们去使用它的理由。这此理由也就是这种技术在某个安全防范方面的主要作用，而我们也就是冲它的这些主要作用才去使用它的。

对于信息系统安全风险评估来说，我们在本文的开头中已经大概了解了他的定义，从它的定义当中，我们可以了解到风险评估可以在信息系统的生命周期的各个阶段使用。由于信息系统生命周期的各个阶段的安全防范目的不同，致使使用风险评估的目的也各不相同，因此，信息系统生命周期每个阶段进行的风险评估产生的作用也各不相同。

信息系统的生命周期分为设计、实施、运行维护和最终销毁这四个主要阶段，每个阶段进行相应的信息系统安全风险评估的主要作用如下所示：

1、在信息系统生命周期的设计和实施阶段，使用信息系统安全风险评估可以起到了解目前系统到底需要什么样的安全防范措施，帮助制定有效的安全防范策略，确定安全防范的投入最佳成本，说服机构领导同意安全策略的完全实施等作用。

2、在信息系统生命周期的运行维护阶段，使用信息系统安全风险评估可以起到如下的作用：

（1）了解防火墙、IDS及其它安全设备是否真的按原先配置的意图在运行，它们实际的安全防范效果是否有满足安全目标的要求；

（2）了解安全防范策略是否切合实际，是否被全面执行；

（3）检验机构内部员工的安全意识，网络操作行为及数据使用方式是否正常；