3种信息安全保障方法的比较

3）缺点

它只是描述了建立ISMS的思想、框架，但对如何建立ISMS并没有一个详细明确的定义，也没有描述ISMS的最终形态;没有确定建立信息安全体系的具体方法与技术。因此，ISMS对实施者来说留下来很大的可操作空间，不同的组织和不同实施着对ISMS标准的把握可能差别很大，ISMS总体水平也会有高下之分。

3.风险评估

1）主要内容

风险评估是获知组织当前风险水平的一种手段，在金融、电子商务等许多领域都是有风险及风险评估需求的存在。当风险评估应用于IT安全领域时，就是对信息安全的风险评估。

2）优点

风险评估从早起简单的漏洞扫描、人工审计、渗透性测试这种类型的纯技术操作，逐渐过渡到目前普遍采用ISO17799、OCTAVE、NIST SP800、NIST P800-26、NIST SP800-30、AS/NZS4360、SSE-CMM等方法，充分体现以资产为出发点、以威胁为触发、以技术/管理/运行等方面存在的脆弱性为诱因的信息安全风险评估综合方法及操作模型。

国内这几年对信息安全风险评估的研究进展较快，具体的评估方法也在不断改进。原国信办2004年组织完成了《信息安全风险评估指南》及《信息安全风险管理指南》标准草案的制定，并在其中规定了信息安全风险评估的工作流程、评估内容、评估方法和风险判断准测，对规范我国信息安全风险评估的做法具有很好的指导意义。

3）缺点

《信息安全风险评估指南》所确定的风险评估方法还只是一个通用的方法论，具体到一个特定的单位，要对其中的风险进行准确地识别与量化仍热是一件困难的事情，在很大程度上要取决于评估者的经验。

另一方面，《信息安全风险评估指南》主要是对所识别的一个个静态资产进行风险评估，涉及IT治理、IT管理流程、IT运维、IT审计、IT价值实现等方面的风险，并不能完全套用以上信息资产的风险评估方法，由于这类风险涉及组织的核心业务，组织对此更加关心，因此，在实施信息安全过程中，准确地识别其中的风险并能加以控制，对组织具有重要意义。

通过以上比较，我们认为这3中方法都是实现信息安全的有效手段，但各有不同的侧重点，要真正实现信息安全要把这3者结合起来，并进行相应的扩展，探索出一条适合中国特色的信息安全保障之路。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友