风险评估与安全需求的关系

The relationship of risk evaluation and security requirement

系统安全构建过程 信息安全可通过风险评估和风险管理来实现.风险评估是确定系统中各种资产,核实资产存在的安全风险,并确定其规模大小的过程:而风险管理是综合考虑各方面的因素形成系统的安全需求,根据安全需求选择安全控制来降低风险,并通过评估确定安全控制的有效性的过程.风险评估的对象可针对一个复杂的IT系统,也可以针对系统中一个部分.图1显示了包括风险评估和风险管理在内的系统安全实现过程.