【正文】 評估安全方案的代價和優(yōu)缺點 ?測試和實施安全方案 識別企業(yè)信息資產(chǎn) ?要保護企業(yè)的電子商務(wù)系統(tǒng)安全，首先要知道企業(yè)中有哪些可識別的資產(chǎn)，哪些是最關(guān)鍵的、需要重點防護的，哪些是次要一些的但是也需要保護的，哪些是不需要專門關(guān)注的。 ? 信息系統(tǒng)安全的最終目的是確保信息的保密性、完整性、可用性、可審計性和不可否認(rèn)性，以及信息系統(tǒng)主體對信息資源的控制。最后，評估被選擇的安全控制在多大程度上降低了被識別的風(fēng)險 風(fēng)險接受 對殘余的風(fēng)險加以分類，或是“可接受的”或是“不可接受的”。 ? (3) 搜集安全需求 。 實施成功的關(guān)鍵是找到可用資源 、 時間進度和任務(wù)之間的合理平衡 。 ?● 用戶操作的便利性和安全性能 。 ⑵ 風(fēng)險評估矩陣 危險性 評估 可見性 評估 分?jǐn)?shù) 危險不太活躍，而且暴露于危險中的機會不很多 1 很低的可見性，沒有提供任何公共信息服務(wù)， 1 危險并不明確，而且危險是多重的 3 間斷的提供公共信息服務(wù)， 3 危險非常活躍，而且危險是多重的 5 持續(xù)提供公共信息服務(wù)， 5 風(fēng)險評估矩陣列表 1 ⑵ 風(fēng)險評估矩陣 事故結(jié)果 評估 事故結(jié)果的影響 評估 分?jǐn)?shù) 沒有任何影響和損夫；在損失預(yù)算之內(nèi)：風(fēng)險可以轉(zhuǎn)移 1 損失在生意運作中可以接受：或?qū)ζ髽I(yè)無較大的影響， 1 企業(yè)內(nèi)部的正常運行受到影響超出了損失預(yù)算：存在機會成本 3 對企業(yè)的運轉(zhuǎn)有不可接受的影響 3 企業(yè)外部的生意受到影響；對企業(yè)財政有致命的影響 5 對企業(yè)的經(jīng)營管理有不可接受的影響 5 風(fēng)險評估矩陣列表 2 （ 3） 基本的風(fēng)險評估 風(fēng)險評估和管理任務(wù) 詳細風(fēng)險評估活動 資產(chǎn)識別和估價 列出在安全管理體系范圍內(nèi)被評估的商業(yè)環(huán)境、運作和信息 相關(guān)的資產(chǎn) 威脅評估 使用通用或一般的常見威脅的列表，列出資產(chǎn)的威脅 薄弱點評估 應(yīng)用通用或一般的常見薄弱點的列表，列出資產(chǎn)的薄弱點 現(xiàn)有的和計劃了的安全控制的識別 根據(jù)前期的安全評審，對所有與資產(chǎn)相關(guān)聯(lián)的現(xiàn)有的和計劃了的控制進行識別和文件化 風(fēng)險評估 搜集由上述評估產(chǎn)生的有關(guān)資產(chǎn)、威脅和薄弱