论文部分内容阅读
涉密信息系统分级保护测评工作存在两大问题,一是风险评估对信息和信息系统所在的整体安全环境进行评估,考虑所有可能影响信息和信息系统的威胁、脆弱性、安全风险,而并未进行主动的、针对信息和信息系统本身的安全性评估;二是实际测评工作中存在操作性问题,难以验证所有安全措施的有效性。针对这两个问题,本文提出了以资产为中心、自内向外的安全测评思路,作为涉密信息系统风险评估的有益补充。