评估方案定制

4.6.3　评估方案定制

在实践过程中要对评估方案进行定制以符合组织特定的业务环境。对于不同特点的组织，所采取的评估方法也存在差异性。鉴于风险评估是与实际环境高度相关的活动，实际上存在对所有组织都适用的评估方案。

表4-19所示为不同组织进行风险评估活动的异同点。

表4-19　不同组织进行风险评估的异同点

在对组织的风险评估方案进行定制之前需要明确哪些评估活动可以被定制，而哪些流程是不能修改的。

简单而言，评估方案中的流程都应遵循准备、调查、分析和策略选择四个阶段，所不同的是在每个阶段所采用的方法和活动可以根据组织情况进行相应的剪裁以制定出符合实际的评估方案，保证顺利完成风险评估活动、实现风险评估目标。

下面就评估过程所涉及到的活动领域分别进行阐述。

1.评估团队建立

在风险评估过程中，人是各项活动的执行者，如何选择适合的人员组建项目评估团队是风险评估成败的关键。

如果组织的地理位置相对集中、规模较小，评估的主要活动是集中进行调查、分析，需要组建相对独立的评估团队，团队成员为专职评估人员；而在对大型组织进行评估时，由于组织部门众多且相对分散，其调查活动主要依赖部门员工完成，评估团队主要起推动评估活动的作用。

在对大型组织进行风险评估之前，需要对评估团队成员进行风险评估相关知识的正式培训，以适应接下来的评估活动。培训内容包括风险评估方法、组织业务、沟通技巧、安全评估工具使用等。对于小型组织而言，评估团队成员可以不经过专门的培训过程，而是在实际工作中逐步熟悉评估过程。

2.调查顺序选择

风险评估现场调查阶段的人员访谈方式可以采用自上而下和自下而上两种顺序。通常，进行调查时首先与组织高层管理人员进行沟通，包括调查范围、调查时间等需要进行确认，同时要获取管理者对组织信息安全的目标、策略等信息。明确了组织的安全目标后再逐级完成对相关人员的调查。

在组织结构清晰、人员职能明确的组织中采用先对一般员工进行访谈，将访谈结果整理、分析后再与高层管理者进行交流，提供给他们整理结果，并请组织高层管理者给出解决意见，这样所掌握的资料更接近组织的实际情况。

不论采用哪种调查顺序，评估团队获得组织高层管理者的支持是评估得以顺利进行的必要保证。

3.评估范围确定

确定评估范围是风险评估前期准备阶段的成果之一，它决定了后续的调查活动所涉及的领域。评估范围的确定直接影响最终评估结论的准确性，为了有效反映整个组织信息系统的风险，风险评估的范围应包括所有的组织功能。

对信息系统规模较小、结构较简单的组织进行风险评估时，评估范围可以包括所有系统资产、组织管理职能。大型组织的业务功能复杂，要求其信息系统提供的服务也是多样化的。对全部信息资产进行评估不但耗费大量的人力，而且周期长，缺乏时效性。应该将评估范围确定在核心系统，对于分支机构或子系统则选取具有代表性的部分进行评估。例如，选择通过远程访问的分支机构以评估网络访问安全。对于相同类型机构或系统，进行抽样评估，在选择样本时应保证样本数量为奇数，以便在整理资料时对结论做出判断。

同样，在风险分析后的策略选择过程中也要考虑评估范围，应根据组织的安全目标决定安全策略的选择范围。不论是调查阶段还是策略选择阶段的范围确定，都需要由评估团队提出，并且获得管理层批准后才可以进行下一步活动。

4.评估周期控制

对不同组织信息系统进行风险评估，评估周期存在很大的差别。评估周期主要取决于所要评估的系统规模、复杂度、评估范围以及评估过程中的人员配合情况。在制定评估计划时应尽可能考虑所有可能对评估进程造成影响的因素。同时需注意的是，风险评估是对信息系统的现状进行风险评价，如果评估周期过长，在完成评估之前系统已经发生变化，那么评估结论就失去意义了。通常应该将评估周期控制在半年之内，如果发现评估过程可能超过预先制定的计划，那么应该考虑修正评估对象、评估方法。

5.沟通方式选择

过程中各阶段的活动都需要组织人员参与配合，对于风险评估判断所涉及的有关系统重要性、综合性影响、威胁因素等评判要素都是与组织密切相关的，而进行各项活动都需要组织协调与确认。因此，与组织及时进行沟通、交流是风险评估最终结果顺利达成的保证措施。另外，在评估过程中，评估团队成员间也需要进行信息交流，对问题的不同意见进行讨论并达成一致，及时通报活动进展情况等。

沟通形式可以根据沟通的目的选择诸如沟通会议、讨论会、E-mail、电话等方式。沟通会议的规模和数量没有固定的要求，可以是两三个人，也可以是评估团队和组织各方人员参与。相比于只有两个部门的小型组织，大型组织需要更多数量的沟通会议。讨论会主要用于评估团队内部的沟通，形式相对正式的沟通会议显得更为随意。而E-mail和电话则在人员不方便面对面交流的情况下经常采用的沟通形式。

不管采取何种方式进行沟通，重要的是沟通的结果，而不是形式和数量。

6.评估工具选择

在风险评估过程中使用评估工具可以提高工作效率和准确率，但是选择评估工具，尤其是各种测试工具时需要持谨慎的态度。测试工具主要包括系统漏洞扫描工具、渗透性测试工具等。由于这些工具的工作原理是模拟入侵者对系统进行攻击的方式对信息系统进行入侵尝试，虽然其攻击性较实际入侵行为有所控制，但是不可避免地会对系统性能造成一定的影响。对于那些需要保持信息系统连续运行的组织，由于使用测试工具所带来的负面作用会对组织业务构成潜在的威胁，应避免使用此类工具，而是采取人工检查配置等方式进行替代。如果一定要进行测试，必须要对测试所带来的后果进行论证，在获得组织确认后进行实施活动。

7.工作表剪裁

工作表是进行调查分析过程的辅助文档工具，对于不同的系统所采用的工作表也应进行相应的调整。在实际操作过程中，根据组织的具体情况对调查方式、过程以及所使用的表格进行必要的裁减。比如有的组织没有独立的信息技术部门，或者甚至没有信息技术人员，针对这样的组织进行安全策略调查的时候，采用调查问卷的方式未必合适，应依靠双方沟通的方式获取信息。而大型组织一般有相对完善的信息技术部门，很多信息可以直接从其中获取，无须再对专门的人员进行技术访谈。