定义
根据组织业务,对被评估单位系统及业务的 CIA(保密性、完整性和可用性)安全属性进行评价的过程,评估信息系统的资产和业务的重要程度、面临的威胁以及脆弱性被威胁源利用的可能性。
目的
全面掌握被评估单位系统及业务的信息安全状况,明确安全威胁和风险,减少信息系统的脆弱性同时为后期安全规划建设提供原始依据。
价值收益
熟知单位业务资产、系统资产、系统组件和单元资产,抵御资产面临威胁,减少资产脆弱性,降低安全事件的影响程度,防范和化解信息安全风险,将风险控制在可接受的水平。
