信息安全的风险评估
信息安全的风险评估
信息安全的风险评估随着科技的迅猛发展,人们对信息安全的重视程度也逐渐加大。
对于企业和个人来说,信息安全无疑是一项重要的保障工作。
而要确保信息安全,首先需要进行风险评估,即对潜在的风险进行辨识、评估和管理。
本文将从定义、方法以及风险评估的重要性等方面进行探讨。
一、风险评估的定义风险评估是指对企业、组织或个人所面临的信息安全威胁进行潜在和实际的风险识别、量化和评估的过程。
通过风险评估,可以帮助企业或组织确定其面临的风险,并制定相应的防范和对策措施,以保护重要信息和资源不受损害。
二、风险评估的方法1. 识别风险:首先需要对信息系统和网络进行全面的调查和分析,识别潜在的风险源,如网络攻击、恶意软件、内部安全漏洞等。
2. 评估风险:根据潜在风险的可能性和影响程度,进行风险评估和度量。
可通过量化分析、综合评估等方法对各个风险进行排序和评估,以确定哪些风险对企业或组织的信息安全构成更大的威胁。
3. 管理风险:在对风险进行评估和排名后,需要制定相应的风险控制和管理策略,包括设立相应的安全控制措施、制定应急预案、提高员工的安全意识等。
三、风险评估的重要性1. 帮助防范风险:通过风险评估,企业或组织可以准确了解其信息安全面临的风险,从而采取相应的措施进行防范和阻止,最大程度地减少信息安全事件的发生。
2. 保护重要信息:风险评估能够协助企业或组织确定哪些信息是最重要、最敏感的,并加强对这些信息的保护措施,避免因安全漏洞导致关键信息的泄露或损害。
3. 降低损失成本:通过风险评估,企业或组织能够提前预知风险,并采取相应的控制措施,从而降低潜在的损失。
在信息安全领域,防患于未然比事后补救更加重要,因为一旦信息安全事件发生,所带来的损失可能是难以预料的。
4. 提升企业形象:信息安全的风险评估不仅仅是一项技术工作,更是一项重要的管理工作。
通过做好风险评估与防范工作,企业能够树立起重视信息安全的形象,为客户和合作伙伴提供更安全可靠的服务。
信息安全风险评估三级
信息安全风险评估三级
摘要:
一、信息安全风险评估概述
1.信息安全风险评估定义
2.信息安全风险评估的目的和意义
二、信息安全风险评估三级
1.第一级:资产识别与评估
2.第二级:威胁识别与评估
3.第三级:脆弱性识别与评估
三、信息安全风险评估的应用
1.风险管理
2.信息安全策略制定
3.安全防护措施的实施
四、信息安全风险评估的挑战与未来发展
1.面临的挑战
2.未来发展趋势
正文:
信息安全风险评估是指对信息系统的资产、威胁和脆弱性进行全面识别、分析和评估,以评估信息系统安全风险的过程。
信息安全风险评估旨在帮助企业和组织了解信息安全威胁,提高信息安全防护能力,确保信息系统的安全和稳定运行。
信息安全风险评估分为三个级别,分别是资产识别与评估、威胁识别与评估以及脆弱性识别与评估。
在第一级资产识别与评估中,主要是对信息系统的资产进行识别和价值评估,确定保护这些资产的重要性和优先级。
第二级威胁识别与评估主要是分析潜在的威胁,评估威胁发生的概率和影响程度。
在第三级脆弱性识别与评估中,主要是对信息系统的脆弱性进行识别和分析,评估系统存在的安全漏洞和风险。
信息安全风险评估在风险管理、信息安全策略制定和安全防护措施的实施等方面具有广泛的应用。
通过风险评估,企业和组织可以更好地了解信息系统的安全风险,制定相应的安全策略和防护措施,提高信息安全防护能力。
然而,信息安全风险评估面临着一些挑战,如评估方法的不统一、评估标准的多样性以及评估过程中可能存在的偏见等。
在未来,随着信息技术的不断发展,信息安全风险评估将朝着更加标准化、自动化和智能化的方向发展。
信息安全风险评估包括哪些
信息安全风险评估包括哪些信息安全风险评估是指对信息系统中的潜在威胁进行客观和系统化的识别、分析和评价的过程。
通过对信息系统的风险进行评估和分析,能够帮助组织了解自身的安全现状,制定相应的安全措施和策略,以保证组织的信息安全。
信息安全风险评估包括以下几个方面:1. 资产评估:评估信息系统中的各类资产,包括硬件设备、软件应用、数据、网络设备等。
通过对这些资产的评估,确定哪些资产对组织的业务运作具有重要性,需要特别保护和重点关注。
2. 威胁评估:评估信息系统面临的潜在威胁和攻击方式。
通过分析各种威胁的来源、特征、攻击手段和影响,识别哪些威胁可能对信息系统的安全造成威胁,并评估其对组织业务的潜在损害。
3. 脆弱性评估:评估信息系统中的存在的脆弱性和漏洞。
通过分析系统的配置、补丁管理、口令管理等方面,发现可能被攻击者利用的漏洞和脆弱点,识别系统中潜在的风险。
4. 风险评估:通过对资产、威胁和脆弱性的评估,综合分析和量化风险的可能性和影响。
通过风险评估,识别和排序系统中的潜在风险,确定哪些风险具有较高的优先级,需要优先采取措施加以防范。
5. 对策评估:评估组织已有的安全控制措施和防御机制,分析其对系统当前面临的风险的有效性和适用性。
通过对策评估,发现安全控制措施的不足之处,并对其进行改进,提高组织的信息安全防护能力。
6. 风险管理计划:根据风险评估结果,制定信息安全风险管理计划,确定相应的风险管理策略和措施,明确各项安全控制的实施责任和时间表,以确保组织的信息系统安全管理工作的持续有效进行。
综上所述,信息安全风险评估是一个综合性的过程,通过对资产、威胁、脆弱性和对策的评估,识别和分析信息系统面临的风险,并制定相应的风险管理计划,以帮助组织建立起有效的信息安全管理体系,保护组织的信息系统和数据的安全。
信息安全风险评估方法
信息安全风险评估方法信息安全风险评估是指对组织内的信息系统和数据进行评估,分析存在的安全风险,并制定相应控制措施以降低风险。
在当今信息化时代,信息安全风险评估方法的选择和应用显得尤为重要。
本文将介绍几种常用的信息安全风险评估方法,帮助读者全面了解和应用于实践。
一、定性与定量评估方法1. 定性评估方法定性评估方法主要基于专家经验和判断进行信息安全风险评估。
在评估过程中,专家利用自己的专业知识和经验判断出各种可能出现的风险,并根据风险的可能性和影响程度进行排序和分类。
这种方法相对简单直观,但主观性较强,结果的可靠性有一定差异。
2. 定量评估方法定量评估方法是基于定量数据和统计分析进行信息安全风险评估。
评估者利用已有数据和统计模型,对各项安全风险进行量化,从而得出相对准确的评估结果。
该方法需要具备一定的数学和统计知识,适用于对大规模系统进行风险评估。
二、标准化评估方法标准化评估方法是指根据国内外相关标准制定的信息安全风险评估方法。
例如ISO/IEC 27005《信息技术-安全技术-信息安全风险管理指南》,这是一项广泛使用的评估方法,它提供了详细的流程和步骤,帮助组织全面评估和管理信息安全风险。
三、威胁建模方法威胁建模方法是一种针对特定系统和应用场景进行信息安全风险评估的方法。
它通过对系统进行建模,分析系统与威胁之间的关系,识别出可能存在的威胁,并评估威胁的可能性和影响程度。
常用的威胁建模方法有攻击树、威胁模型等。
四、脆弱性评估方法脆弱性评估方法是一种通过发现和分析系统中存在的脆弱性,来评估信息安全风险的方法。
评估者通过对系统进行漏洞扫描、渗透测试等技术手段,发现系统中的安全弱点,进而评估相应的风险。
这种方法对于特定系统的评估较为有效,但需要具备一定的技术能力和经验。
五、综合评估方法综合评估方法是上述方法的综合运用,根据实际情况和需求选择适合的评估方法进行信息安全风险评估。
例如,可以结合定性评估和定量评估方法,综合使用标准化评估和威胁建模方法,以更全面、准确地评估信息安全风险。
信息安全的风险评估
信息安全的风险评估
信息安全的风险评估是指对信息系统或网络环境中的风险进行系统化的评估与分析,以确定对信息安全造成威胁的因素、可能遭受到的攻击类型以及可能导致的损失,为制定有效的安全措施和决策提供依据。
信息安全的风险评估可以按照以下步骤进行:
1. 资产识别和分类:识别和分类重要的信息资产,例如数据、系统、网络、设备等。
2. 威胁辨识:分析与确认可能的威胁来源和攻击方法,例如网络攻击、恶意软件、社会工程等。
3. 脆弱性评估:评估系统和网络存在的漏洞和弱点,即脆弱性,例如安全配置问题、未修补的漏洞等。
4. 风险分析:结合资产识别、威胁辨识和脆弱性评估的结果,评估潜在威胁和漏洞对信息安全造成的风险程度。
5. 风险评估:根据风险分析的结果,对风险进行量化评估或定性评估,确定风险的等级和优先级。
6. 风险管理:根据风险评估的结果,制定针对性的安全措施和策略,包括风险的接受、缓解、转移或避免。
7. 监测与更新:持续监测信息安全状况,及时更新风险评估和
管理策略,以适应不断变化的威胁环境。
通过信息安全的风险评估,组织能够识别和评估潜在的风险,制定相应的风险管理措施,提升信息系统和网络的安全性,保护重要的信息资产免受攻击和损失。
信息安全风险评估
信息安全风险评估引言:在当今数字化时代,信息安全风险已经成为各行各业面临的重要问题。
对于企业和组织来说,如果不能及时识别和评估信息安全风险,可能会面临严重的损失,例如数据泄露、恶意攻击和财务损失等。
因此,进行信息安全风险评估是非常重要的。
本文将探讨信息安全风险评估的概念、方法、工具和关键要点。
一、信息安全风险评估概述信息安全风险评估是指通过系统化的方法,对信息系统和相关资源的潜在风险进行识别、评估和处理的过程。
其目的是为了提前预防和降低信息安全事件发生的可能性和影响程度。
1.1 信息安全风险评估的重要性信息安全风险评估能够帮助企业和组织全面了解其信息系统的潜在风险,并采取相应的措施来降低风险。
通过评估,可以及时识别出安全漏洞和威胁,从而有针对性地制定安全策略和加强防护措施,保障信息系统的安全稳定运行。
1.2 信息安全风险评估的基本原则信息安全风险评估应遵循以下基本原则:(1)风险评估应综合考虑信息系统的技术、组织、人员和环境等因素。
(2)风险评估应基于事实和科学的依据,充分利用统计学和数学模型等方法进行分析和预测。
(3)风险评估应持续进行,随着信息系统的变化和演化,及时更新评估结果和控制策略。
(4)风险评估应透明和可追溯,评估方法和结果应当明确记录和保存,方便日后审计和复查。
二、信息安全风险评估方法信息安全风险评估方法主要包括定性评估和定量评估两种。
2.1 定性评估定性评估主要是根据专家判断和经验来评估风险的可能性和影响程度。
这种方法适用于初次风险评估或者数据不完备的情况下。
定性评估通常根据风险等级进行分类,例如高、中、低等。
2.2 定量评估定量评估是通过对信息系统和相关数据进行全面分析和建模,计算出风险的具体数值。
这种方法更加精确和科学,适用于大规模复杂信息系统的风险评估。
定量评估主要采用统计学方法和数学模型,例如蒙特卡洛模拟、概率论和回归分析等。
三、信息安全风险评估工具信息安全风险评估工具是辅助进行风险评估的软件或硬件工具。
信息系统安全风险评估报告(精选5篇)
信息系统安全风险评估报告信息系统安全风险评估报告(精选5篇)在经济发展迅速的今天,接触并使用报告的人越来越多,报告中提到的所有信息应该是准确无误的。
一听到写报告马上头昏脑涨?下面是小编帮大家整理的信息系统安全风险评估报告(精选5篇),希望对大家有所帮助。
信息系统安全风险评估报告1医院信息系统的安全性直接关系到医院医疗工作的正常运行,一旦网络瘫痪或数据丢失,将会给医院和病人带来巨大的灾难和难以弥补的损失,因此,医院计算机网络系统的安全工作非常重要。
在医院信息管理系统(HIS)、临床信息系统(CIS)、检验信息管理系统(LIS)、住院医嘱管理系统(CPOE)、体检信息管理系统等投入运行后,几大系统纵横交错,构成了庞大的计算机网络系统。
几乎覆盖全院的每个部门,涵盖病人来院就诊的各个环节,300多台计算机同时运行,支持各方面的管理,成为医院开展医疗服务的业务平台。
根据国家信息安全的有关规定、县医院建设基本功能规范、医院医疗质量管理办法、等级医院评审标准,并结合我院的实际情况制定了信息系统安全管理制度(计算机安全管理规定、网络设备使用及维护管理规定、打印机使用及维护管理规定、信息系统添置和更新制度、软件及信息安全、信息系统操作权限分级管理办法、计算机机房工作制度、计算机机房管理制度)、信息系统应急预案、信息报送审核制度、信息报送问责制度,以确保医院计算机网络系统持久、稳定、高效、安全地运行。
针对信息系统的安全运行采取了措施1、中心机房及网络设备的安全维护1.1环境要求中心机房作为医院信息处理中心,其工作环境要求严格,我们安装有专用空调将温度置于22℃左右,相对湿度置于45%~65%,且机房工作间内无人员流动、无尘、全封闭。
机房安装了可靠的避雷设施、防雷设备;配备了能支持4小时的30KVA的UPS电源;配备了20KVA的稳压器;机房工作间和操作间安装有实时监控的摄像头。
1.2网络设备信息系统中的数据是靠网络来传输的,网络的正常运行是医院信息系统的基本条件,所以网络设备的维护至关重要。
信息安全风险评估及防范措施
信息安全风险评估及防范措施信息安全虽然早已成为我们现代社会不可或缺的一部分,但是随着网络技术不断完善和创新,信息安全也随之面临了新的挑战和风险。
每天都会有新的网络安全漏洞被曝光,而这些漏洞不仅会造成用户信息泄露,还可能导致公司和组织的商业机密、财务数据和机密数据等重要信息被窃取或篡改。
所以,评估和防范信息安全风险很有必要。
一、什么是信息安全风险评估信息安全风险评估是指通过对IT系统和网络环境的全面分析、评估和测试,识别和分析各种信息安全风险隐患和潜在威胁,并据此制定相应的防范策略的过程。
核心内容包括对基础设施、数据和应用程序等核心系统进行安全检查,目的在于判断他们是否存在漏洞,发现并排除安全威胁。
二、信息安全风险评估的流程信息安全风险评估的流程一般分为以下几个步骤:1. 确认业务环境首先要明确具体业务和目标,了解业务流程,掌握敏感信息的位置和用途。
2. 确认风险对象风险对象就是IT系统、数据和应用程序等核心系统。
3. 识别风险通过对信息安全领域的知识和工具的应用,合理评估红蓝队模拟攻击等漏洞测试,在网络、计算机系统和应用软件等多个角度全面审视和识别风险。
4. 评估风险根据风险的种类、规模、危害程度、受影响的范围等指标来评估风险等级。
5. 判断风险和防范措施制定应对和防范风险的策略和方法,包括完善的技术、管理和运营措施,并通过测试验证风险应对效果。
6. 实行防范措施认真落实防范措施,强化网络和系统安全防护,通过审查、监控、报警、及时响应等措施来防范风险。
7. 监测和评价风险建立有效的信息安全管理制度,实行风险评估监控、风险事件日志记录、风险评估报告等方法,对机构内部信息安全运营情况进行实时跟踪。
三、防范信息安全风险的措施信息安全风险评估是后防线,不是解决方案。
因此,提高信息安全意识、加强网络安全防范和培育良好的信息安全习惯是最重要的措施,这些措施应该贯穿于全过程。
此外,现列一些防止信息安全风险的具体措施:1. 定期更新和安装防病毒、防火墙、反垃圾邮件等软件,规定和执行用户密码策略和权限管理。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息安全的风险评估
作者:吴俊森
来源:《电脑知识与技术》2014年第32期
摘要:随着科技信息化的发展,信息安全问题成为信息系统最重要的问题之一。
信息安全风险评估是建立信息系统安全体系的基础,能有力保障信息系统的安全性,促进国家信息化的发展。
该文将对我国信息安全的风险评估问题进行探讨,并对信息安全风险评估的相关问题提出相应对策。
关键词:信息安全;风险评估;现状问题;对策
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2014)32-7601-02
信息产业的迅猛发展,使得信息化技术成为社会发展的必要组成部分,信息化技术为国民经济的发展注入了新鲜的活力,更加速了国名经济的发展和人民生活水平的提高。
当然,人们在享受信息技术带来的巨大便利时,也面临着各种信息安全问题带来的威胁。
这种信息安全事件带来的影响是恶劣的,它将造成巨大的财产损失和信息系统的损害。
因此,信息系统的安全问题不得不引起社会和民众的关注,完善信息系统的安全性,加强信息安全的风险评估成为亟待解决的问题。
1 信息安全风险评估概述及必要性
1.1 信息安全风险评估概述
首先,信息安全风险,主要是指人为或自然的利用信息系统脆弱性操作威胁信息系统,以导致信息系统发生安全事件或造成一定消极影响的可能。
而信息安全风险评估简单的理解,就是以减少信息安全风险为目的通过科学处理信息系统的方法对信息系统的保密性、完整性进行评估。
信息安全风险评估工作是一项保证信息系统相对安全的重要工作,必须科学的对信息系统的生命周期进行评估,最大限度的保障网络和信息的安全。
1.2 信息安全风险评估的必要性
信息安全评估是为了更好的保障信息系统的安全,以确保对信息化技术的正常使用。
信息安全风险评估是信息系统安全管理的必要和关键的环节,因为信息系统的安全管理必须建立在科学的风险评估基础上,科学的风险评估有利于正确判断信息系统的安全风险问题,提供风险问题的及时解决方案。
2 信息安全风险评估过程及方法
信息安全风险的评估过程极其复杂和规范。
为了加强我国信息安全风险评估工作的开展,这里有必要对风险评估的过程和方法给予提示和借鉴。
风险评估的过程要求完整而准确。
具体有如下步骤:
1)风险评估的准备工作,即要确定信息系统资产,包含范围、价值、评估团队、评估依据和方法等方面。
要明确好这些资产信息,做好识别。
2)对资产的脆弱性及威胁的识别工作,这是由于信息系统存在脆弱性的特点,所以要周密分析信息系统的脆弱点,统计分析信息系统发生威胁事件的可能性以及可能造成的损失。
3)安全风险分析,这是较为重要的环节。
主要是采用方法与工具确定威胁利用信息系统脆弱性导致安全事件发生的可能性,便于决策的提出。
4)制定安全控制措施,主要有针对性的制定出控制威胁发生的措施,并确认措施的有效性,最大限度的降低安全风险,确保信息系统的安全。
5)措施实施的阶段,主要是在有效监督下实施安全措施,并及时发现问题和改正。
对于信息安全风险评估的方法,国内外进行了很多不同的方法尝试。
方法一般都遵循风险评估的流程,只是在手段和计算方法上有差异,但是分别都有一定的评估效果。
主要采用:定性评估、定量评估、以及定性与定量相结合的评估,最后的方法是一个互补的评估方式,能达到评估的最佳效果。
3 我国信息安全风险评估发展现状
较美国等西方国家关于信息安全系统风险评估的发展历史和技术研究,我国起步比较晚且落后于发达国家。
但近年来,随着社会各界对信息系统安全的重视,我国开始在信息系统安全管理工作上加大力度,并把信息系统的安全评估工作放在重要的位置,不断创新研究,取得了高效成果。
但是,就我国目前的信息安全风险评估工作看来,还存在诸多问题。
1)我国部分企业、组织和部门对于信息系统安全风险评估没有引起绝对的重视,没有大力普及风险评估工作。
由于领导者及员工的信息安全防范意识不强以及自身素质水平的影响,导致对风险评估的流程及必要性都不了解,就不太重视对企业信息系统的安全风险评估工作。
2)我国缺乏信息系统安全风险评估的规范化标准。
我国目前的信息系统安全风险评估工作的开展,大部分依靠参考国际标准提供服务,只注重效仿,而缺乏对我国信息系统安全风险的实际状况的研究,没有针对性,得不到应有的效果。
3)我国缺乏行之有效的理论和技术,也缺乏实践的经验。
由于科技水平的相对落后,对于信息系统的安全风险评估缺乏合适的理论、方法、技术等。
我国仅依靠深化研究IT技术共性风险,而没有针对性的行业信息个性风险评估,这是没有联系实际的举措,是不能真正将信息系统的安全风险评估落实到位的。
4)在对信息系统安全风险的额评估中角色的责任不明确。
这应该归咎于领导的和员工的不符责任及素质水平的落后。
对风险评估理论缺乏,那么就会导致参与评估工作领导和员工角
色不明确,领导对评估工作的指导角色以及责任不明确,员工则对评估工作流程方法不理解,都大大降低了风险评估的工作效率。
以上种种关于信息系统安全风险评估的现状问题反映出我国在对信息系统安全风险评估的工作还缺乏很多理论和实践的指导。
我国的信息系统安全风险评估工作的开展力度还远不够,那些在信息系统安全风险评估工作的成果还远远达不到评估工作的标准。
4 强化信息安全风险评估的对策
4.1 加强对信息安全风险评估的重视
信息化技术对于每一个企事业单位都是至关重要的,企业在对工作任务的执行和管理中都必须用到信息化技术,因此,保证信息系统的安全性对于企业的发展至关重要。
企业、组织和部门要加强对信息安全风险评估的重视,强化风险意识,将信息安全风险评估作为一项长期的工作来开展。
4.2 完善我国信息系统安全风险评估的规范化标准
上文中指出我国目前的信息系统安全风险评估工作大部分依靠国际标准在进行,国内没有一个统一的评估标准。
因此,我国应该根据企业各种标准的侧重点,自主创新研究,创造出自己的标准技术体系,而不再一味的去效仿他国。
只有这样,我国的信息系统安全风险评估才能得到迅猛的提高与发展,才能保证国家信息化的安全。
4.3 加强对评估专业人才的培养
信息化技术是一项非常专业的技术,只有拥有专业知识和技能的高科技人才才能控制和把握。
信息安全风险的评估工作上则更需要拥有专业技能和业务水平的人才,他们必须对信息化技术相当了解和精通,对风险评估的方法、手段、模型、流程必须熟练。
因此,企事业单位要加强对专业人才的培养,定期进行业务技能培训,鼓励人才的自主学习,不断提高自身的能力,为确保企业信息安全评估工作的高效发展及信息安全贡献力量。
4.4 加强科技创新,增强评估的可操作性
我国的科技水平较西方国家有很大的差距,因此在对信息安全风险的评估工作中,也存在理论和技术上的差距。
我国应该不断的加强科研力度,在理论和技术上加以完善,在评估工具上改进,以确保评估工作的高效开展。
信息系统风险评估是一个过程体系,必须抓好每一环节的技术性,在依据实际状况下进行风险评估。
4.5 明确评估工作的职责划分
信息安全风险评估工作是复杂的,每一个流程都需要投入一定的人力、物力和财力。
针对人力这一方面,企业单位应该明确划分评估工作人员的职责范围,管理者要发挥好领导监督作用,有效指导评估工作的开展,员工则有效发挥自身的作用和能力。
进而在每一环节工作人员共同协作下,完成评估工作的各项流程,并达到预期的成效。
5 结束语
随着我国信息技术水平不断的进步和提高,信息安全工作成为一项必须引起高度重视的工作之一。
在当前我国信息安全风险评估还不够全面和科学的情况下,我国应该加强科技创新,依靠科学有效的管理以及综合规范的保障手段,在借鉴西方国家先进理论和技术的同时结合我国企业单位信息安全风险评估的实际现状,有针对性的实施有效方法,确保信息系统的安全性,进而保证我国信息化的安全发展。
参考文献:
[1] 倪健民.信息化发展与我国信息安全[J].清华大学学报(哲学社会科学版),2000(15).
[2] 周佑源,张晓梅.信息安全管理在等级保护实施过程中的要点分析[J].信息安全与通信保密,2009(9).
[3] 张耀疆.信息安全风险管理(三)——风险评估(下)[J].信息网路安全,2004(10).
[4] 须诚,张玉清,雷震甲.企业信息安全风险的自评估及其流程设计[J].中国金融电脑,2004(25).
[5] 李娟,梁军,李永杰.信息安全风险评估研究[J].计算机与数字工程,2006(34).。