风险评估的准备

2.3.2　风险评估的准备

风险评估的准备是整个风险评估过程有效性的保证。其工作主要包括：

1.确定风险评估目标

风险评估的准备阶段应明确风险评估的目标，为风险评估的过程提供导向。信息系统是重要的资产，其机密性、完整性和可用性对于维持竞争优势、获利能力、法规要求和组织形象是必要的。组织要面对来自内、外部日益增长的安全威胁，信息系统是威胁的主要目标。由于业务信息化程度不断提高，对信息技术的依赖日益增加，一个组织可能出现更多的脆弱点。风险评估的目标是满足组织业务持续发展在安全方面的需要，或符合相关方的要求，或遵守法律法规的规定等。

2.确定风险评估的对象和范围

基于风险评估目标确定风险评估的对象和范围是完成风险评估的前提。风险评估的对象可能是组织全部的信息及与信息处理相关的各类资产、管理机构，也可能是某个独立的系统、关键业务流程、与客户知识产权相关的系统或部门等。

3.组建团队

组建适当的风险评估管理与实施团队，以支持整个过程的推进，如成立由管理层、相关业务骨干、IT技术人员等组成的风险评估小组。评估团队应能够保证风险评估工作的有效开展。

4.选择方法

应根据评估的目的、范围、时间、效果、人员素质等因素来选择具体的风险判断方法，使之能够与组织环境和安全要求相适应。

5.获得支持

上述所有内容确定后应得到组织的最高管理者的支持、批准，并对管理层和技术人员进行传达，应在组织范围就风险评估相关内容进行培训，以明确各有关人员在风险评估中的任务。

6.准备相关的评估工具

为保证风险评估的顺利进行，需要相应的评估工具支持，如信息收集工具、数据及文档管理工具。

信息收集工具主要是漏洞扫描工具、渗透性测试工具等，常用的漏洞扫描工具有Nessus、GFI LANguard、Retina、Core Impact、ISS Internet Scanner、X－scan、Sara、QualysGuard、SAINT、MBSA Nessus、ISS Internet Scanner、NetRecon等。

数据及文档管理工具主要用来收集和管理评估所需要的数据和资料，并根据需要的格式生成各种报表，帮助决策。这类工具可由用户根据评估的需要自行或委托第三方开发对应的管理系统，协助评估数据的管理。