信息系统安全风险评估应用：基础知识

核心提示： （4）当信息系统因某种原因做出硬件或软件调整后，使用信息系统安全风险评估来确定原本的安全措施是否依然有效，信息系统安全风险评估应用：基础知识(2)，如果不行，应当在哪些方面做出相应的修改等等，在这里，我同样只给出这个通用信息系统安全风险评估流程的主框架，3、在信息系统生命周期的最终销毁阶段

（4）当信息系统因某种原因做出硬件或软件调整后，使用信息系统安全风险评估来确定原本的安全

措施是否依然有效，如果不行，应当在哪些方面做出相应的修改等等。

3、在信息系统生命周期的最终销毁阶段，可以使用信息系统安全风险评估来检验应当完全销毁的

数据或设备，确实已经不能被任何方式所恢复；淘汰的信息系统中的设备确实已经被妥善保管，没有被流失出去的危险等作用。

二、信息系统安全风险评估的通用处理流程

信息系统安全风险评估不是一个可以随意就能完成的任务，为了能保证风险评估按一定的方式有序、正确地执行，以及评估结果的真实有效；也为了能减少在风险评估过程中有可能产生的有意或无意错误；同时还为了提高风险评估的效率，缩短评估的时间，以减少对正常业务的影响。为信息系统安全风险的评估工作制定一个有效的处理流程是很有必要的。

在现在出现了的一些信息系统风险评估标准中（例如我国，在2006年3月7日，由国务院信息化办公室印发的《信息安全风险评估指南》），已经提出了处理风险评估的通用流程。但是，这些通用的风险评估流程并不包括具体细节，你和你的风险评估团队应当根据需要评估的对象来自行决定。同时，我们在风险评估过程中，还要以这些风险评估标准作为评估结果的参考标准，以便给出具体的风险评估值。

在这里，我同样只给出这个通用信息系统安全风险评估流程的主框架，具体的处理细节会在第二节中详细说明。这个通彻的风险评估处理流程如下所示：

1、信息系统安全风险评估准备阶段

2、信息系统安全风险评估对象风险检测阶段

3、信息系统安全风险评估对象风险检测结果分析及给出评估报告阶段

4、后期安全维护阶段