题目：信息系统资产识别及风险分析方法研究

随着计算机网络的不断普及和信息技术的迅猛发展，信息系统为整个国家的政治、经济及文化发展发挥了重要的推动作用，信息系统也成为了组织健康快速发展不可或缺的资源，信息系统的安全性也被提到了重要的地位，加强信息系统的安全性也迫在眉睫。组织的信息系统一旦出现安全故障，不仅会给组织带来很大的安全隐患，而且还会给组织带来不可挽回的经济、名誉等各方面的损失，甚至可能会危害到国家的政治、军事的安全。因此研究组织的信息安全问题显得十分必要。
目前对信息系统资产识别、风险分析及风险控制的研究不能满足组织对信息系统安全的需求。本文在研究大量文献和组织实践工作的基础上，提出了对信息系统的层次化分解模型，以及在此模型基础上，通过信息资产关联关系、惟一标识及管理属性和特殊属性的分离三个角度进行识别的方法，提出了信息系统风险分析模型，重点介绍基于业务流程的信息资产面临的威胁和脆弱性分析以及风险计算和风险控制。
本文的主要研究主要包括两个方面：
1．提出了基于层次化模型的信息资产识别模型，通过对组织系统的物理分布层次化分解和系统逻辑承载层次化的分解，在模型基础上，从信息资产之间的关联关系、信息资产的惟一标识、信息资产的管理属性和特殊属性分离三方面对信息资产识别进行分析描述。明确的形成了信息资产的识别目标，进而通过图、表、卡相结合的方式对信息资产实现全面、详细的登记管理。
2. 在进行信息系统风险分析研究中，本文首先提出了信息系统承载业务流程的模型，在此模型基础上，本文提出了基于用户、业务过程、数据结果三个要素对信息系统的信息资产面临的威胁进行分析模型及风险分析。通过信息资产面临的威胁分析，结合资产的价值、信息资产的脆弱性分析，科学的计算出信息系统资产的风险值，对资产风险进行风险处理，实现降低信息资产安全事件发生的概率，减少组织因安全事件造成的损失。