我国对重要信息系统的安全保护已经从早期的针对各种单一技术的研究和应用逐步扩展到关注信息安全顶层设计的战略高度。目前国家有关法律和政策已经明确指出信息安全等级保护是国家信息安全保障的基本制度,信息安全风险评估则是信息系统等级保护的重要手段。信息安全等级保护与风险评估是两个相互联系、相互依存、相互促进的体系框架,信息安全风险评估为等级保护提供科学合理的重要依据,因此,本文对国际上流行的信息安全管理标准BS7799进行研究的目的是为了对信息系统等级保护提供支撑。本文的主要研究工作及结果包括:对BS7799基本思想和核心内容进行了深入分析,并从我国管理文化和等级保护制度的国情出发,指出了BS7799实施中面临的问题;在此基础上,对BS7799的风险评估模型进行了相应的裁剪和补充,使之在充分保留BS7799在风险管理诸方面优势的基础上,适应我国的国情和工程实践需求;在给出了相应的辅助软件工具设计和实现之后,将上述结果运用到一个实际系统的信息安全风险评估项目中,效果明显,表明本文的成果具有可行性、实用性,可为未来信息安全风险评估实践提供参考。
本文来源: https://www.lw50.cn/article/8a0843953f159a4a2a3ccad1.html