@CI
2年前 提问
1个回答

风险评估包含哪些准备工作

Anna艳娜
2年前

风险评估是组织确定信息安全需求的过程,包括资产识别与评价、威胁和弱点评估、控制措施评估、风险认定在内的一系列活动。风险评估准备工作包括:

确定风险评估的目标

- 根据满足组织业务持续发展在安全方面的需要、 法律法规的规定等内容,识别现有信息系统及管理上的不足,以及可能造成的风险大小。

确定风险评估的范围

- 风险评估范围可能是组织全部的信息及与信息处理相关的各类资产、管理机构,也可能是某个独立的信息系统、关键业务流程、与客户知识产权相关的系统或部门等。

组建适当的评估管理与实施团队

- 风险评估实施团队,由管理层、相关业务骨干、IT技术等人员组成风险评估小组。
- 评估实施团队应做好评估前的表格、文档、检测工具等各项准备工作,进行风险评估技术培训和保密教育,制定风险评估过程管理相关规定。

进行系统调研

- 系统调研是确定被评估对象的过程,风险评估小组应进行充分的系统调研,为风险评估依据和方法的选择、评估内容的实施奠定基础。
- 调研内容至少应包括:业务战略及管理制度;主要的业务功能和要求;网络结构与网络环境,包括内部连接和外部连接;系统边界;主要的硬件、软件;数据和信息;系统和数据的敏感性;支持和使用系统的人员。
- 系统调研可以采取问卷调查、 现场面谈相结合的方式进行

确定评估依据和方法

- 根据系统调研结果,确定评估依据和评估方法。
- 评估依据包括(但不仅限于):现有国际标准、国家标准、行业标准;行业主管机关的业务系统的要求和制度;系统安全保护等级要求;系统互联单位的安全要求;系统本身的实时性或性能要求等。
- 据组织机构自身的业务特点、信息系统特点,选择适当的风险分析方法并加以明确,如定性风险分析、定量风险分析,或是半定量风险分析。
- 根据评估依据,应考虑评估的目的、范围、时间、效果、人员素质等因素来选择具体的风险计算方法,并依据业务实施对系统安全运行的需求,确定相关的判断依据,使之能够与组织环境和安全要求相适应。

制定风险评估方案

- 风险评估方案的目的是为后面的风险评估实施活动提供一个总体计划, 用于指导实施方开展后续工作。
- 风险评估方案的内容一般包括(但不仅限于):
- 团队组织:包括评估团队成员、组织结构、角色、责任等内容;
- 工作计划:风险评估各阶段的工作计划,包括工作内容、工作形式、工作成果等内容;
-  时间进度安排:项目实施的时间进度安排。

获得最高管理者对风险评估工作的支持

- 上述所有内容确定后,应形成较为完整的风险评估实施方案,得到组织最高管理者的支持、批准;
- 对管理层和技术人员进行传达, 在组织范围就风险评估相关内容进行培训, 以明确有关人员在风险评估中的任务。