为什么需要信息系统安全风险评估

　　很显然，当要我们很欣然地接受和使用某一种新技术来协助我们进行安全防范工作时，这种技术就必需有能够驱使我们去使用它的理由。这理由也就是这种技术在某个安全防范方面的主要作用，而我们也就是冲它的这些主要作用才去使用它的。

　　对于信息系统安全风险评估来说，我们在本文的开头中已经大概了解了他的定义，从它的定义当中，我们可以了解到风险评估可以在信息系统的生命周期的各个阶段使用。由于信息系统生命周期的各个阶段的安全防范目的不同，致使使用风险评估的目的也各不相同，因此，信息系统生命周期每个阶段进行的风险评估产生的作用也各不相同。

　　信息系统的生命周期分为设计、实施、运行维护和最终销毁这四个主要阶段，每个阶段进行相应的信息系统安全风险评估的主要作用如下所示：

　　1、在信息系统生命周期的设计和实施阶段，使用信息系统安全风险评估可以起到了解目前系统到底需要什么样的安全防范措施，帮助制定有效的安全防范策略，确定安全防范的投入最佳成本，说服机构领导同意安全策略的完全实施等作用。

　　2、在信息系统生命周期的运行维护阶段，使用信息系统安全风险评估可以起到如下的作用：

　　(1)了解防火墙、IDS及其它安全设备是否真的按原先配置的意图在运行，它们实际的安全防范效果是否有满足安全目标的要求;

　　(2)了解安全防范策略是否切合实际，是否被全面执行;

　　(3)检验机构内部员工的安全意识，网络操作行为及数据使用方式是否正常;

　　(4)当信息系统因某种原因做出硬件或软件调整后，使用信息系统安全风险评估来确定原本的安全

　　措施是否依然有效，如果不行，应当在哪些方面做出相应的修改等等。

　　3、在信息系统生命周期的最终销毁阶段，可以使用信息系统安全风险评估来检验应当完全销毁的

　　数据或设备，确实已经不能被任何方式所恢复;淘汰的信息系统中的设备确实已经被妥善保管，没有被流失出去的危险等作用。

　　万方安全专注与网络信息安全领域10余年以上，具备国家网络信息安全主管部门颁发的最权威认证资质及国际权威认证资质，安全博士领衔数十位获得国际和国内顶级安全资质的专家团队为您服务。