基线风险评估Baseline Risk Assessment风险评估的一种方法。是指企业根据自己的实际情况(所在行业、业务环境与性质等),对信息系统进行安全基线检查(拿现有的安全措施与安全基线规定的措施进行比较,找出其中的差距),得出基本的安全需求,通过选择并实施标准的安全措施来消减和控制风险。安全基线是在诸多标准规范中规定的一组安全控制措施或者惯例,这些措施和惯例适用于特定环境下的所有系统,可以满足基本的安全需求,能使系统达到一定的安全防护水平。企业可以根据以下资源来选择安全基线:国际标准、国家标准、行业标准、推荐标准,以及来自其他有类似商务目标和规模的企业的惯例。基线评估的优点是需要的资源少,周期短,操作简单,对于环境相似且安全需求相当的企业,基线评估是最经济有效的风险评估途径。 |