【摘要】:良好的风险评估准备工作是使整个风险评估过程高效完成的保证。计划实施风险评估是组织的一种战略性考虑,其结果将受到组织业务战略、业务流程、安全需求、系统规模和组成结构等方面的影响。在风险评估准备阶段应明确风险评估的目标,为风险评估的过程提供导向。组建适当的风险评估管理与实施团队,以支持整个过程的顺利推进。如成立由管理层、相关业务骨干、信息技术人员等组成的风险评估小组。
4.2.2 风险评估准备
良好的风险评估准备工作是使整个风险评估过程高效完成的保证。计划实施风险评估是组织的一种战略性考虑,其结果将受到组织业务战略、业务流程、安全需求、系统规模和组成结构等方面的影响。因此,在实施风险评估之前,应做到以下几点。
(1)确定风险评估的目标
在风险评估准备阶段应明确风险评估的目标,为风险评估的过程提供导向。信息系统是企业的重要资产,其机密性、完整性和可用性对维持企业的竞争优势、获利能力、法规要求和企业形象等具有十分重要的意义。企业要面对日益增长的、来自内部和外部的安全威胁。风险评估目标需满足企业持续发展在安全方面的要求,满足相关方的要求,满足法律法规的要求等。
(2)风险评估的范围
基于风险评估目标确定风险评估范围是完成风险评估的又一个前提。风险评估范围可能是企业全部的信息以及与信息处理相关的各类资产、管理机构,也可能是某个独立的系统、关键业务流程、与客户知识产权相关的系统或部门等。
(3)选择与组织机构相适应的具体风险判断方法
在选择具体的风险判断方法时,应考虑到评估的目的、范围、时间、效果、人员素质等诸多因素,使之能够与组织环境和安全要求相适应。
(4)建立风险评估团队
组建适当的风险评估管理与实施团队,以支持整个过程的顺利推进。如成立由管理层、相关业务骨干、信息技术人员等组成的风险评估小组。风险评估团队应能够保证风险评估工作的高效开展。
(5)获得最高管理者对风险评估工作的支持
风险评估过程应得到企业最高管理者的支持、批准,并对管理层和技术人员进行传达,应在组织内部对风险评估的相关内容进行培训,以明确相关人员在风险评估中的任务。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
