基线风险评估

2.2.1　基线风险评估

基线风险评估要求组织根据自己的实际情况（所在行业、业务环境与性质等），对信息系统进行基线安全检查（将现有的安全措施与安全基线规定的措施进行比较，找出其中的差距），得出基本的安全需求，通过选择并实施标准的安全措施来消减和控制风险。所谓的安全基线，是在诸多标准规范中规定的一组安全控制措施或者惯例，这些措施和惯例适用于特定环境下的所有系统，可以满足基本的安全需求，能使系统达到一定的安全防护水平。组织可以根据以下资源来选择安全基线：

（1）国际标准和国家标准，例如ISO 17799、ISO 13335；

（2）行业标准或推荐，例如德国联邦安全局的《IT基线保护手册》；

（3）来自其他有类似商务目标和规模的组织的惯例。

基线评估的优点是：

（1）风险分析和每个防护措施的实施管理只需要最少数量的资源，并且在选择防护措施时花费更少的时间和努力；

（2）如果组织的大量系统都在普通环境下运行并且如果安全需要类似，那么很多系统都可以采用相同或相似的基线防护措施而不需要太多的努力。

基线评估的缺点是：

（1）基线水平难以设置，如果基线水平设置得过高，有些IT系统可能会有过高的安全等级，如果基线水平设置的过低，有些IT系统可能会缺少安全，导致更高层次的暴露；

（2）风险评估不全面、不透彻，且不易处理变更，例如，如果一个系统升级了，就很难评估原来的基线防护措施是否充分。

虽然在安全基线已建立的情况下，基线评估成本低、易于实施，但由于不同组织信息系统千差万别，信息系统的威胁时刻都在变化，很难制定全面的、具有广泛适用性的安全基线，而组织自行建立安全基线成本很高。目前世界上还没有全面、统一的、能符合组织目标的、值得信赖的安全基线，因而基线评估方法开展并不普遍。