風險評估的主要工作內容
添加時間:2014-06-19 19:13:41
現(xiàn)狀調查與風險評估的主要工作任務:
□ 對組織信息安全管理現(xiàn)狀進行全面系統(tǒng)的調查���,為風險評估提供充分的信息;
□ 識別信息資產�;
□ 信息資產估價;
□ 威脅���、薄弱點的識別與評價�;
□ 現(xiàn)有安全控制的確認;
□ 安全風險測量及優(yōu)先等級的確定��。
風險評估時應考慮以下因素:
□ 信息資產及其價值���;
□ 對這些資產的威脅����,以及它們發(fā)生的可能性�;
□ 薄弱點;
□ 已有的安全控制措施���;
□ 在進行風險評估時�,應考慮以下對應關系:
- 每一項資產可能面臨多個威脅�;
- 威脅的來源可能不只一個,應從人員(包括內部與外部)�����、環(huán)境(如自然災害)�����、資產本身(如設備故障)等方面加以考慮;
- 每一威脅可能利用一個或數(shù)個薄弱點�。
企業(yè)在選擇風險評估方法時,應考慮以下內容
組織可以選擇不同的風險評估方法��,每一種方法都有其優(yōu)點和不足�,在平衡考慮選擇哪種評估方法時組織應該考慮:
□ 組織的業(yè)務背景;
□ 該業(yè)務的性質和重要程度�;
□ 組織業(yè)務、業(yè)務支持系統(tǒng)����、應用程序和服務的復雜程度�����;
□ 組織業(yè)務對該信息新系統(tǒng)的依賴程度��;
□ 組織業(yè)務合作伙伴的多少���、外部業(yè)務和合同關系��;
□ 對這個信息系統(tǒng)投入成本的高低���,即為了開發(fā)��、維護或替換這個信息系統(tǒng)及其資產的成本�����,這也是一個機構為它直接賦予的價值��。
這些因素存在于每一種業(yè)務中��,在選擇評估方法是應該參照這些因素考慮各種方法的優(yōu)點和不足�����。通常來說越重要�����、越關鍵�、一旦發(fā)生災難帶來的損失越大的業(yè)務�,組織應該為其安全投入更多的時間和資源。
現(xiàn)狀調查與風險評估的工作流程:
□ 準備工作階段:確定信息安全管理體系的范圍���,成立風險評估小組���,制定風險評估計劃�����,確定風險評估的方法與工具�;
□ 現(xiàn)狀調查:對組織的業(yè)務運作流程��、安全管理機構���、資產情況����、信息系統(tǒng)網絡拓撲結構�����、安全控制情況�、法律法規(guī)適用與執(zhí)行情況進行調查���;
□ 列出與信息有關的資產清單����,并對每一項資產估價�;
□ 識別出資產所面臨的威脅及其發(fā)生的可能性與潛在影響評價��;
□ 識別出被威脅所利用的薄弱點并對其被利用的難易程度進行評價���;
□ 對現(xiàn)有的安全控制措施進行確認;
□ 進行風險大小測量并確定優(yōu)先控制等級�;
□ 風險評估結果的評審與批準;
□ 編制適用的法律法規(guī)清單并對其符合性進行評估�����;
□ 結果分析與評價�����,主要任務是對調查結果進行分析�,找出信息安全管理方面的缺陷及組織存在的信息安全風險,明確信息安全要求�,選擇適當?shù)目刂品绞接枰詫嵤瑢L險降低到可接受的水平�。
