The Combination Evaluation Method of Information System Risk
信息系统风险的组合评估方法

1 引言随着我国信息化的进程,信息安全问题也日渐突出。如何有效防止信息系统灾难性事件的发生,降低风险,已是我们所面临的重大课题。以往国外针对信息安全采取的是风险消除方法,传统的“可信计算机安全评价准则(TCSEC)”以及国际标准“信息技术安全评价公共准则(CC)”(ISO/IEC 154081998年通过)都是基于风险消除制定的。国内对信息安全风险评估的研究和应用目前还处于初始阶段,尚未见到全面论述如何在信息系统建设过程中进行风险评估并大规模加以实践验证的文章和专著。也未形成这方面的规范或标准。我们认为在当今大规模的信息网络环境下,无论采取多么完善的