@爆米花
2年前 提问
1个回答
实施信息安全风险评估前需要准备什么
Anna艳娜
2年前
实施信息安全风险评估前需要准备以下这些:
制订风险评估计划:根据背景建立阶段输出的报告,制订风险评估的实施计划,包括风险评估的目的、意义、范围、目标、组织结构、角色及职责、经费预算和进度安排等。
制订风险评估方案:确定风险评估的实施方案,包括风险评估的工作过程、活动、子活动、每项活动的输入数据和输出结果等。
选择风险评估方法和工具:从现有风险评估方法和工具库中选择合适的风险评估方法和工具。
制定组织机构自己的风险评估准则:在实施风险评估之前,应参考风险评估相关国际标准、国家标准和行业标准,制定组织机构自己的风险评估准则。风险评估准则通常包括组织机构所采用的风险分析方法、风险计算方法、资产分类标准、资产分级准则(包括资产保密性分级准则、资产完整性分级准则、资产可用性分级准则、资产重要性分级准则)、威胁出现频率分级准则、脆弱性严重程度分级准则和风险分级准则。所有这些风险评估准则制定完成后,在风险评估准备阶段(即在实施风险评估以前),应得到被评估方的一致认可。
获得风险管理决策层的认可、批准和支持:上述内容确定后,形成的《风险评估计划书》和《风险评估方案》需得到信息系统和信息安全风险管理决策层的认可、批准和支持,并传达给管理层和技术人员;对相关人员进行风险评估培训,明确其在风险评估中的任务和责任。