信息系统安全风险评估应用：基础知识

核心提示： 三、了解信息系统安全风险评估中的三个重要术语1、评估对象在信息系统安全风险评估过程中，我们首先要做的就是指定评估的具体对象，信息系统安全风险评估应用：基础知识(3)，也就是限制评估的具体物理和技术范围，在信息系统当中，这些就是信息系统安全的风险评估项目，每一个评估对象都有属于自己独特的评估

三、了解信息系统安全风险评估中的三个重要术语

1、评估对象

在信息系统安全风险评估过程中，我们首先要做的就是指定评估的具体对象，也就是限制评估的具体物理和技术范围。在信息系统当中，评估对象是与信息系统中的软硬件组成部分相对应的。例如，信息系统中包括各种服务器、服务器上运行的操作系统及各种服务程序、各种网络连接设备、各种安全防范设备或应用程序、物理安全保障设备，这些都可以是构成独立的评估对象，甚至连使用这些信息系统的人也可以作为一个评估对象。总的来说，目前可以将整个计算机信息系统分为六个主要的评估对象：

（1）、信息安全风险评估

（2）、业务流程安全风险评估

（3）、网络安全风险评估

（4）、通信安全风险评估

（5）、无线安全风险评估

（6）、物理安全风险评估

2、评估项目

信息系统安全风险评估的评估项目是针对某个具体的评估对象来定的，用来决定评估对象具体要评估的某个方面，例如，对于物理安全风险评估，就需要对评估对象所在的周边环境进行安全风险评估，以及对评估对象已经完成的物理安全措施进行风险评估等，这些就是信息系统安全的风险评估项目。

每一个评估对象都有属于自己独特的评估项目，这是每个评估对象独特的属性所决定的。下面是六个主要的安全风险评估对象的主要评估项目的简短描述：

（1）、信息安全风险评估的主要评估项目

①、信息的安全状况评估

②、信息的完整性审查

③、机密信息调查

④、网络操作痕迹信息检查

⑤、信息在使用过程中的安全性审查

⑥、隐私信息机密性审查

⑦、信息可控性审查

⑧、信息存储安全性审查