什么是安全需求分析和安全风险评估的目的

时间：2012-3-8

  安全风险评估的目的在于根据信息资产的价值,威胁的严重程度和系统脆弱性导致结果的影响,识别和评估系统的风险,从而提出一套将安全风险降低到可接受的程度的控制手段.显而易见,风险评估是针对诸如计算基础设施之类有形资产,而且是采取自底向上的分析方法,这种方法存在的问题是对无形的信息资产的价值难以估计.要得到量化的结果,必然会引入一些主观臆测的成分,很难在实际应用中取得良好的效果.

  保护计算机系统安全,操作控制起主要作用,操作控制的目的在于强制规范信息使用者的活动和行为,确定所需要安全保护程度的大部分需求来自业务和高层管理,因此,需要一种自顶向下识别信息安全控制的分析方法,这就是所谓的安全需求分析.