企业如何进行安全评估

1.制定评估计划

安全评估的第一步是确定各种各样的评估内容,包括物理的、逻辑的、管理和组织因素等，有时可能包括外部服务，如软件开发合司商，IT外包商等。一旦确定了评审的域和范围，就需要制订一个监视各项设备和人员的计划。一般来说，这需要召集一个由安全人员组成的评审小组。如有必要，可以包括别的部门经验丰富的专家和顾问。也要为此评审制定目标日程和预算，并确定以哪种方式将结果汇报给管理层或指定的部门主管。

2.收集信息

有经验的信息安全人员知道所有组织在进行危险和薄弱环节评估之前，一定安全预防水平下应该采用的许多控制和做法。但他们也应了解现有的安全状况，企业单位希望的安全性的大小和类型，以及基本控制未包括的特殊危险和薄弱环节。他们了解的大部分内容应该是组织中已经发生过的损失，员工对危险和薄国环节的看法，以及需要保护的信息与设备。信息人员通过阅读企业的文件，采访相关人员、观察和测试环境与系统来收集这些信息。

当宣布评审后，就可以开始确定和收集研究用的相关文件，其中包括安全政策和标准,使用的表格。组织图表,现有指令,信息系统和服务指南，外部资源合同.指导方针和手册等等。近期的审计报告对确定安全问题特别有价值，因为评审也需要考虑现有的安全控制，所以应当为正在使用的控制列个清单，这将作为改善和确定新控制的出发点。

检测设备可以检查出设备的物理和逻辑安全性,也可以帮助了解企业的安全政策。识别易受损失的资产很重要，如计算机硬件和软件、通信和运输设施等等,最重要的是组织的信息。信息包括各种类型，在每次评估时，应该时刻确定信息所在的位置和企业的应用程序。提供的服务等内容，只需鉴别这些资产，判斯它们的价值是否重要及是否必须包括在评估中就可以了。

3.选择控制对象

收集完信息之后需要对结果进行分析，确定基本细致工作的安全改革方法和新的特殊控制对象及来源于推荐目标的控制。选择特殊控制或何时推荐基本控制是相似的，审查所有收集到的信息以辨别危险和薄草环节。对所有需要解决的信息安全危险和薄润环节，要按照11个步骤进行分析，应当将所有11个步骤应用在一个或更多个描述危险、薄强环节及损失事件中。

一步一步按照特定的顺序执行这11个步骤:

1)避免。在考虑控制之前，先消除危险或删除受危险影响的信息。

2)威胁。阻止一些人产生非法企图。

3)预防。阻止有害事件发生,发出警报并记录。

4)检查。观察异常情况，发出警报并记录。

5 )减少。防御袭击。发出警报井记录，破少损失至最低水平或防止损失发生。

6)移交。委派合适的组织处理事件。

7)调查。找出原因,查明有问题的一方。

8)处罚或奖励。处罚或奖励相应的当事人。

9)恢复。重建成赔偿损失。

10)纠正。根据需要招待或完善前9步的行动，以防止类似事件发生。

11)教育。记录在案并从事件中总结经验教训。

4.推荐控制

如果确定了适于减少危险的控制和方法，从而改善安全控制，并达到了细致工作标准后,应该审视现有的评估结果,做了必要修改后，可以提交给管理层，最终报告通常包括六个方面:

• 执行总结

• 最初的评估计划

• 项目的进展过程

• 组织相对于他人的基本细致工作状况

• 结论、建议和相对费用估计

• 确定优先级的实施计划

5.实施控制

实施计划要包括一些细节， 如实施时间，实施方式，实施人员等等。

实施过程通常需要一个基础广泛的团队，由信息安全专家实施一般适用的控制，由组织内单个的信息拥有者和系统管理实施当地控制。需要说明的是，实施过程所需的时间通常很长。