@爆米花
2年前 提问
1个回答
信息安全风险评估准备工作包括哪些内容
GQQQy
2年前
信息安全风险评估准备工作包括以下内容:
明确开展风险评估的目的:比如满足组织业务持续发展在安全方面的需要、符合相关主管方的要求或遵守法律法规的规定等。
确定风险评估范围和边界:风险评估范围和边界的确定是开展风险评估的前提,这决定了风险评估任务的大小。风险评估范围可能是组织的全部信息及与信息处理相关的各类资产、管理机构,也可能是某个独立的系统、关键业务流程、与客户知识产权相关的系统或部门等。评估范围必须明确,即定义风险评估的物理边界和逻辑边界。
明确风险评估参与人员的角色和责任:组建一支风险评估与管理实施团队,保证风险评估工作的有效开展,以支持整个过程的推进,如成立由管理层、相关业务骨干、IT技术人员等组成的风险评估小组。风险评估小组确定后,应得到组织最高管理者的支持、批准,并对管理层和技术人员进行传达,并在组织范围内就风险评估的相关内容进行培训,以明确各有关人员在风险评估中的任务。
制订评估行动计划:风险评估行动计划用于指导实施风险评估工作的后续开展,一般包括评估团队成员、组织结构、角色、责任等内容。风险评估各阶段的工作计划,包括工作内容、工作形式、工作成果等。项目实施的时间进度安排,包括现场测试时间、报告制作时间等。
选择并确认风险评估工具和方法:风险信息获取需要相关工具的支撑,包括漏洞扫描工具、渗透测试工具、风险评估辅助工具。风险值的计算基于风险要素的识别结果,通过风险函数得到,比如矩阵法和相乘法。
准备相关表格:比如资产清单、现场检查表、风险判别矩阵等。表8-1给出资产风险判别矩阵,它是根据风险发生可能性与损失等级来计算风险的矩阵判别表,风险发生的可能性损失等级均划分为5个等级,分别用1、2、3、4、5表示,风险等级的取值范围为1~25。