王德正

（上海观乐信息技术有限公司，上海 201210）

一、企业信息安全评估的内容

1.评估企业的管理制度

企业信息安全评估在实施过程中需要评估企业的管理制度掌握企业管理制度的基本情况，分析企业管理制度的完善情况和企业管理制度的落实情况，保证企业管理制度在制度的完善性、有效性以及制度的针对性方面达标，并根据企业的基本情况推动企业管理工作的有效落实。通过对企业管理制度的有效评估能够衡量企业管理制度对企业管理工作的支撑力度和工作特点，对分析企业管理工作效果以及判断企业管理工作是否具有代表性具有重要意义。

2.企业信息系统计算机安全评估

在企业信息安全评估过程中企业信息系统计算机安全评估是重要的评估内容，在评估过程中能够根据评估的要求、评估的特点以及评估的具体状况做好评估工作，并围绕计算机安全评估的具体情况调整评估措施。企业信息系统计算机安全评估作为重要的评估内容，在评估过程中需要掌握企业计算机的安全状况，分析企业计算机运行条件以及企业计算机在运行过程中的特点，使企业信息系统计算机安全评估在实施过程中能够围绕企业自有的信息系统以及企业的管理实际做好信息系统的评估工作，使企业在信息安全评估过程中能够找到评估的侧重点，为企业的信息安全评估提供必要支持。结合企业信息安全评估的实际以及评估的具体内容，在评估过程中既要围绕企业安全评估的具体形式做好评估工作，同时也要根据信息安全评估的内容和信息安全评估的实际要求做好管理工作的完善，使企业信息安全评估在实施过程中能够提高代表性，为企业信息安全评估奠定良好的基础。

二、企业信息安全风险定量评估方法

1.企业信息安全估价的描述方法

1.1 信息保密性的评定标准。中风险的定量评估方法至关重要，对信息安全评估的实施和评估效果的提升具有重要影响。在企业信息安全估价的描述过程中采取的描述方法较多，其中信息保密性的评价标准较为特殊，主要分为信息的高等级保密、信息的一般等级保密和信息的低层次保密，在保密评定标准的落实过程中既要根据评定的要求和特点做好评定工作。同时也要围绕评定的具体条件和评定的特征做好评定工作，使系统安全评定能够达到评定目标，围绕评定的具体情况和具体的内容、要求做好评定工作，使系统在评定中能够在信息保密性和评定标准的科学性方面达到评定要求。

1.2 信息完整性的评定标准。在企业信息安全评价过程中信息完整性的评定标准至关重要，掌握信息完整性的评定标准，对提高信息安全评价效果具有重要影响。从目前信息完整性的评定标准来看，既包括评定标准的等级，同时也包括评定标准的细节在信息中的完整性，在评定标准划分过程中既要了解评定标准的具体情况，也要根据信息评定标准实际内容以及信息评定标准的细节做好评定工作，保证信息评定标准在划分和实施过程中能够达到评价要求，为信息评定标准的建立和完善提供帮助和支持。信息安全评价既要关注信息安全本身，同时也要在信息完整性的评价方面下功夫，信息安全评价在实施过程中达到评价要求，解决评价过程中的信息完整性问题，使信息安全评价在评定标准的全面性和评定标准的有效性以及评定标准的实施过程中达到评定要求。围绕信息安全评定的要求和具体内容，在评定过程中既要了解评定的实际情况，同时也要根据评定的具体内容细化评定标准，使信息完整性的评定标准能够达到评价要求，围绕信息安全评价的具体情况以及评价的实施要点，在评定标准的掌握方面需要以信息安全评价的实际需求为出发点，确保信息完整性评价达到评价要求。

2.企业信息安全威胁程度的量化方法

企业信息安全的威胁通常定义为潜在的破坏性因素或突发事件。威胁是客观存在的，既可能来自于系统的用户（合法用户或非法入侵）操作，也可能来自系统的物理组件的损坏。

企业在信息安全威胁程度的量化过程中选择的安全威胁程度、量化方法对衡量信息安全程度以及提高信息安全评价效果具有重要影响。在企业信息安全威胁程度的量化过程中，既要关注信息量化的标准，同时也要关注信息量化的具体情况，根据信息量化的具体内容和信息量化的要求做好量化分析工作。结合企业信息安全评价工作的要求和具体内容，在信息安全评价过程中要围绕信息安全评价的具体情况做好分析工作。

3.信息系统脆弱性的量化方法

信息系统脆弱性的评估和系统面临的威胁是紧密相关的，所有的实际威胁都是利用系统安全的薄弱环节来发挥破坏性作用的。信息系统脆弱性的量化方法在评价过程中具有重要影响，掌握信息系统脆弱性的量化方法对提高评价效果和满足评价要求具有重要影响。结合信息系统脆弱性的量化评价实际，在评价过程中能够根据评价的特点和要求以及评价的具体实施需要做好评价方法的优选，使评价方法在应用过程中达到应用要求满足应用实际，解决信息系统脆弱性的量化分析问题，使信息系统在脆弱性量化分析过程中能够达到分析目标。

结语

通过对企业信息安全评价工作的了解，在信息安全评价工作中既要了解安全评价的重要性，同时也要分析和判断安全评价工作的实施效果，使信息安全评价工作在实施过程中能够达到评价要求。围绕评价的具体情况制定科学的评价措施，并采取正确的评价方法解决评价过程中存在的问题，使信息安全评价工作在实施环节能够取得实效，并根据信息安全评价工作的特点制定有效的工作措施，推动企业信息安全评价工作的落地实施。所以，了解企业信息安全评价工作特征，并做好信息安全评价工作，对提高企业信息安全质量和满足企业信息安全管理要求具有重要影响。