【摘要】:综合风险评估的最后两步是IT系统安全策略和IT安全计划,IT系统安全策略是前面各阶段评估结果的结晶,包括系统安全目标、系统边界、系统资产、威胁、脆弱点、所选取的安全措施、安全措施选取的原因、费用估计等。综合评估将基线和详细风险评估的优势结合起来,既节省了评估所耗费的资源,又能确保获得一个全面系统的评估结果,而且,组织的资源和资金能够应用到最能发挥作用的地方,具有高风险的信息系统能够被预先关注。
2.2.3 综合风险评估
基线风险评估耗费资源少、周期短、操作简单,但不够准确,适合一般环境的评估;详细风险评估准确而细致,但耗费资源较多,适合严格限定边界的较小范围内的评估。因而实践当中,组织多是采用二者结合的综合评估方式。
ISO/IEC 13335-3提出了综合风险评估框架,其实施流程如图2-3所示。
图2-3 综合风险评估方法
综合风险评估的第一步是高层风险分析,其目的是确定每个IT系统所采用的风险分析方法(基线或详细风险分析)。高层风险分析考虑IT系统及其处理信息的业务价值,以及从组织业务角度考虑的风险。然后,依据高层风险分析的决定,对相应的IT系统实施基线风险分析或详细风险分析。接下来是依据基线风险分析与详细风险分析的结果选取相应的安全措施,并检查上述安全措施实施后,信息系统的残余风险是否在可接受范围内,对不可接受的风险需要进一步加强安全措施,必要时应采取再评估。
综合风险评估的最后两步是IT系统安全策略和IT安全计划,IT系统安全策略是前面各阶段评估结果的结晶,包括系统安全目标、系统边界、系统资产、威胁、脆弱点、所选取的安全措施、安全措施选取的原因、费用估计等。IT安全计划则处理如何去实施所选取的安全措施。
综合评估将基线和详细风险评估的优势结合起来,既节省了评估所耗费的资源,又能确保获得一个全面系统的评估结果,而且,组织的资源和资金能够应用到最能发挥作用的地方,具有高风险的信息系统能够被预先关注。当然,综合评估也有缺点:如果初步的高级风险分析不够准确,某些本来需要详细评估的系统也许会被忽略,最终导致某些严重的风险未被发现。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
