风险评估的基本过程
风险评估是组织确定信息安全需求的过程,包括资产识别与评价、威胁和弱点评估、控制措施评估、风险认定在内的一系列活动。
计划和准备
组织在正式进行风险评估之前,应该制定一个有效的风险评估计划,明确风险评估的目标,限定评估的范围,建立相关的组织结构并委派责任,并采取有效措施来采集风险评估所需的信息和数据。具体来说,风险评估计划应该包括以下内容:
目标 —— 开展风险评估活动的目的,期望得到的输出结果,关键的约束条件(时间、成本、技术、策略、资源等)。
范围和边界 —— 既定的风险评估可能只针对组织全部资产(包括其弱点、威胁事件和威胁源等)的一个子集,评估范围必须首先明确。例如,研究范围也许只是确定某项特定资产的风险,或者与一种新型攻击或威胁源相关的风险。此外,必须定义风险评估的物理边界和逻辑边界。逻辑分析边界定义了分析所需的广度和深,度,而物理系统边界则定义了一个系统起于哪里止于何处,比如一个与外部系统相连的系统,必须对其所有的接口特性进行描述。
系统描述 —— 进行风险评估的一个先决条件就是对受评估系统的需求、操作概念和系统资产特性有一个清晰的认识,必须识别评估边界内所有的系统。
角色和责任 —— 组织应该成立一个专门的风险评估小组,小组应该包括具有安全评估经验和熟悉组织运作情况的成员,还应该包括管理层、业务部门、人力资源、IT 系统和来自用户的代表,如果需要,还应该聘请外部的风险评估专家来参与项目。此外,组织的信息安全官、IT 系统安全管理员也都应该承担各自的责任。最重要的一点,组织的高级管理层一定要参与并支持风险评估项目。
风险评估行动计划 —— 确定风险评估的途径和方法,计划评估步骤。
风险接受标准 —— 事先明确组织能够接受的风险的水平或者等级。
风险评估适用表格 —— 为风险评估过程拟订标准化的表格、模板、问卷等材料。
制定风险评估计划之后,组织首先要为正式实施风险评估做准备。准备阶段的主要工作就是通过多种途径去采集信息,包括:
专家经验(来自内部或外部专家、专业组织的统计公布信息)集体讨论或小组讨论系统分析(包括技术性分析和业务分析)
人员访谈
调查问卷
文件审核(包括政策法规、安全策略、设计文档、操作指南、审计记录等)
以前的审计和评估结果
对外部案例和场景的分析
现场勘查
通过以上途径采集的信息,可以供风险评估各个阶段的活动分析使用,包括资产识别与评价、威胁评估、弱点评估等。
风险评估的基本过程
风险评估是组织确定信息安全需求的过程,包括资产识别与评价、威胁和弱点评估、控制措施评估、风险认定在内的一系列活动。
计划和准备
组织在正式进行风险评估之前,应该制定一个有效的风险评估计划,明确风险评估的目标,限定评估的范围,建立相关的组织结构并委派责任,并采取有效措施来采集风险评估所需的信息和数据。具体来说,风险评估计划应该包括以下内容:
目标 —— 开展风险评估活动的目的,期望得到的输出结果,关键的约束条件(时间、成本、技术、策略、资源等)。
范围和边界 —— 既定的风险评估可能只针对组织全部资产(包括其弱点、威胁事件和威胁源等)的一个子集,评估范围必须首先明确。例如,研究范围也许只是确定某项特定资产的风险,或者与一种新型攻击或威胁源相关的风险。此外,必须定义风险评估的物理边界和逻辑边界。逻辑分析边界定义了分析所需的广度和深,度,而物理系统边界则定义了一个系统起于哪里止于何处,比如一个与外部系统相连的系统,必须对其所有的接口特性进行描述。
系统描述 —— 进行风险评估的一个先决条件就是对受评估系统的需求、操作概念和系统资产特性有一个清晰的认识,必须识别评估边界内所有的系统。
角色和责任 —— 组织应该成立一个专门的风险评估小组,小组应该包括具有安全评估经验和熟悉组织运作情况的成员,还应该包括管理层、业务部门、人力资源、IT 系统和来自用户的代表,如果需要,还应该聘请外部的风险评估专家来参与项目。此外,组织的信息安全官、IT 系统安全管理员也都应该承担各自的责任。最重要的一点,组织的高级管理层一定要参与并支持风险评估项目。
风险评估行动计划 —— 确定风险评估的途径和方法,计划评估步骤。
风险接受标准 —— 事先明确组织能够接受的风险的水平或者等级。
风险评估适用表格 —— 为风险评估过程拟订标准化的表格、模板、问卷等材料。
制定风险评估计划之后,组织首先要为正式实施风险评估做准备。准备阶段的主要工作就是通过多种途径去采集信息,包括:
专家经验(来自内部或外部专家、专业组织的统计公布信息)集体讨论或小组讨论系统分析(包括技术性分析和业务分析)
人员访谈
调查问卷
文件审核(包括政策法规、安全策略、设计文档、操作指南、审计记录等)
以前的审计和评估结果
对外部案例和场景的分析
现场勘查
通过以上途径采集的信息,可以供风险评估各个阶段的活动分析使用,包括资产识别与评价、威胁评估、弱点评估等。