风险评估师是对信息资产面临的威胁、存在的弱点、造成的影响,以及三者综合作用而带来风险的可能性的评估的人员。作为风险管理的基础,风险评估(Risk Assessment)是组织确定信息安全需求的一个重要途径,属于组织信息安全管理体系策划的过程。
风险评估师是对信息资产面临的威胁、存在的弱点、造成的影响,以及三者综合作用而带来风险的可能性的评估的人员。
作为风险管理的基础,风险评估(Risk Assessment)是组织确定信息安全需求的一个重要途径,属于组织信息安全管理体系策划的过程。
在风险评估过程中,有几个关键的问题需要考虑。
首先,要确定保护的对象(或者资产)是什么?它的直接和间接价值如何?
其次,资产面临哪些潜在威胁?导致威胁的问题所在?威胁发生的可能性有多大?
第三,资产中存在哪里弱点可能会被威胁所利用?利用的容易程度又如何?
第四,一旦威胁事件发生,组织会遭受怎样的损失或者面临怎样的负面影响?最后,组织应该采取怎样的安全 措施才能将风险带来的损失降低到最低程度?
解决以上问题的过程,就是风险评估的过程。
每年六月份、十二月份举行一次评定考试,由中国电力工程技术协会颁发相关证书。