随着
信息系统迅速发展我国经济发展脚步的不断加快,虽然
信息系统有了很大的发展,并在关键核心业务中起着关键性作用。但同时也潜在很大的安全风险。因此,必须要对安全风险进行积极有效的管理才能确保
信息系统的可持续发展。那么在安全管理过程中,也是存在一定的矛盾,即:安全保护成本与安全事件代价。安全保护成本也就是在安全管理过程中,提高自身安全水平的基础之上需要的成本和开销。安全事件代价,就是指在忽略安全防护措施和安全风险管理中,从而导致的一些不安全事件。包括,病毒发作、拒绝服务、系统崩溃、机密
信息泄露及滥用等等。这些不安全事件给企业带来巨大损失,同时也给企业带来了很大的负面影响。
所谓的风险评估是能基于这两者矛盾的同时,使得重要的
信息资源还能被识别、分类,并能正确的估算出企业所面临的威胁和存在的困难,并做出相应的代价和影响。因此,一些决策者就可以根据这些安全评估做出正确的选择和判断。