1.风险评估的基本思路
依据风险评估流程实施评估,是实现科学、有效的风险评估的重要前提。信息安全风险评估工作的流程如图8-5所示。
图8-5 信息安全风险评估思路
2.风险评估主要步骤
信息系统安全风险评估是一项复杂的工程,它涉及信息系统的技术和管理两个方面,涉及所有与系统有关的内部管理层和普通员工,以及所有的业务服务客户、系统的第三方集成商和服务商,还包括所有信息系统上的网络设备、主机设备、客户端以及运行和存储在上面的软件资产和数据资产,甚至很多支持信息系统的其他无形资产等。一个完整的风险评估过程主要包括如下几个阶段:
(1)确定评估范围阶段,调查并了解信息系统业务的流程和运行环境,确定评估范围的边界以及范围内的所有网络系统,明确评估的业务或应用系统、信息资产(如,硬件、软件、数据)、涉及人员、环境(如,建筑、设备位置)、IP地址信息(如,IP范围、网段信息等)。
(2)资产的识别和估价阶段,对评估范围内的所有资产进行识别,并调查资产的重要性以及破坏后可能造成的影响。
(3)安全威胁评估阶段,识别信息系统面临的外部人员、内部人员、系统组件、物理环境等各方面的威胁,评估每种威胁发生的可能性。
(4)脆弱性评估阶段,包括从技术和管理方面进行的脆弱程度检查,发现信息系统各方面存在的安全隐患和漏洞。
(5)风险的分析阶段,通过获取的资产、威胁、脆弱性数据进行风险值计算,对各业务系统的风险情况进行分析。
(6)风险的管理阶段,根据风险分析的结果,制订相关风险控制策略,实施风险控制措施。
风险评估的结果就是为风险管理提供依据。因此,在风险管理部分要明确风险的处理方式(避免、降低、接受、转移),并且明确采取什么样的技术和管理措施来对风险进行处理与控制。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
