地理信息安全评估

地理信息安全评估，是指依据有关地理信息安全技术与管理标准，对地理信息系统及由其处理、传输和存储信息的机密性、完整性和可用性等安全属性进行评价的过程。它要评估地理信息面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的信息价值来判断安全事件一旦发生对组织造成的影响。地理信息安全评估主要涉及四个基本要素：信息资产、信息资产的脆弱性、信息资产面临的威胁和信息资产存在的可能风险。地理信息安全评估就是围绕这些基本要素展开，通过分析地理信息资产的脆弱性来确定威胁可能利用哪些弱点来破坏其安全性。

地理信息安全评估是风险管理的第一步，通过安全评估可以了解组织面对的威胁、本身的脆弱性、实施的控制措施等信息。通过对这些信息的综合分析和评估，最终计算出组织实际的安全风险等级。安全评估的主要内容及步骤有：其一，对地理信息进行识别并对其重要性进行赋值。地理信息的重要性由其在机密性、完整性和可用性等安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。其二，对安全威胁进行识别,描述威胁的属性。威胁作用形式可以是对地理信息本身及信息系统直接或间接的攻击，如非授权的泄露、篡改、删除等，在机密性、完整性或可用性等方面造成损害；也可能是偶发的或蓄意的事件。其三，对地理信息的脆弱性进行识别，并对具体地理信息脆弱性的严重程度赋值。可以根据对地理信息损害程度、弱点流行程度，采用等级方式对已识别的脆弱性严重程度进行赋值。其四，根据安全事件发生的可能性以及安全事件的损失，计算安全事件一旦发生对组织的影响，即风险值。