【摘要】:风险评估方法具有多样、灵活的特点。但无论如何,信息安全风险评估过程应包括以下基本操作步骤:为使风险评估更加有效,这一过程应该作为组织业务过程的一部分来看待。需要强调的是,风险评估过程成功与否关键在其能否被组织所接受。一个有效的风险评估过程将发现组织的需求,并与组织的管理人员积极合作,共同达成组织目标。对一个信息安全从业人员来说,风险评估过程主要关注的是信息资源的机密性、可用性和完整性。
4.2.1 风险评估基本步骤
风险评估方法具有多样、灵活的特点。此外,对风险评估方法的选择又可依据组织的特点进行,因此又具有一定的自主性。但无论如何,信息安全风险评估过程应包括以下基本操作步骤:
第一步:风险评估准备,包括确定评估范围、组织评估小组;
第二步:风险因素识别;
第三步:风险确定;
第四步:风险评价;
第五步:风险控制。
信息安全风险评估过程如图4-2所示。
图4-2 信息安全风险评估过程
为使风险评估更加有效,这一过程应该作为组织业务过程的一部分来看待。风险管理人员希望风险分析和评估过程能够对组织的业务目标起到积极的支持作用。需要强调的是,风险评估过程成功与否关键在其能否被组织所接受。一个有效的风险评估过程将发现组织的需求,并与组织的管理人员积极合作,共同达成组织目标。
为使风险评估能够成功进行,评估人员需要了解客户/企业管理者真正需要什么,并努力满足其需求。对一个信息安全从业人员来说,风险评估过程主要关注的是信息资源的机密性、可用性和完整性。
风险评估过程应根据组织机构的业务运作情况随时进行调整,许多时候企业的管理者都被告知需要增加一些安全控制措施,并且这些安全控制措施是审计的需要或者是安全的需要,而不是商业方面的要求。风险评估工作就是要在风险分析的基础上,帮助用户找到对业务运行有利的安全控制措施和对策。
下面对信息安全风险评估各阶段的主要任务进行详细阐述。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
