识别阶段主要完成对信息安全风险的构成要素——资产、威胁、脆弱性的识别,以及对已有安全控制措施的有效性的分析和确认。在识别阶段提取到的各类信息,都可以被用于分析阶段的风险分析的输入。在识别阶段对原始信息的获取决定了风险分析结果的客观性和准确性,被评估组织也能得到更大的安全收益。而在进行风险识别之前,需要进行一些准备工作,包括建立环境和前期调查、工具准备等。环境的确定是进行风险评估的基础,在此过程中要对风险评估的目标、范围、风险评价准则等进行确立。
1 确定风险评价准则
组织应该确定用于评定风险重要性的准则。该准则应该反映组织的价值观、目标和资源。一些准则可以服从或引用法律法规的要求或组织签署的其他要求。风险准则宜与组织风险管理方针一致,在风险管理过程开始时予以确定,并予以持续评审。当确定风险准则时,要考虑的因素包括如下:
(1)可能出现的致因和后果的性质和类别,以及如何予以测量;
(2)可能性如何确定;
(3)可能性和(或)后果的时间范围;
(4)风险程度如何确定;
(5)利益相关方的观点;
(6)风险可接受或可容许的程度;
(7)多种风险的组合是否予以考虑,如果是,如何考虑及哪种风险组合宜予以考虑。
通过建立风险评价准则,以这些标准为尺度,可以对活动中的各种影响进行评价。我们不可能降低所有的风险,所以组织必须确定已知风险的优先级。
2 风险评估范围
在确定风险评估所处的阶段及相应目标之后,应进一步确认风险评估的范围。
低评估范围可能是被评估机构全部的信息及相关的各类资产,管理机构等,也可能是机构中某个独立的信息系统、信息系统中的关键业务流程、与信息系统相关联的系统或部门等。
在确定评估范围时,应结合被评估机构的实际信息系统建设,来综合确定一个清晰的评估边界,这个评估边界就相当于风险评估小组的授权范围和进行评估的必要信息,例如硬件、软件、人员和基础设施等。评估的范围可能是单个系统或者是多个关联的系统,对于关联的系统要特别注意相互之间接口描述。
组织通常按照物理边界和逻辑边界来描述某次风险评估的范围。物理边界定义了一个系统起于哪里止于何处。信息系统的物理边界元素包括我们常见的信息资产,如工作站、服务器、网络设备、线路、外设、建筑物和建筑物内独立的房间。逻辑边界定义了分析所需的广度和深度。
3 风险评估目标
信息安全风险评估准备阶段首先应明确目标,为整个信息安全风险评估的过程提供正确的导向,也为下一步完善管理制度、今后的安全建设和风险管理提供第一手资料。信息安全需求是一个组织为保证其业务正常、有效运转而必须达到的信息安全要求,通过分析组织必须符合的相关法律法规,组织在业务流程中对信息安全等的保密性、完整性、可用性等方面的需求,来确定信息安全风险评估的目标。
风险评估的目标是提高信息安全的防护能力、发现隐患的能力、网络应急反应能力、对抗能力,保障信息及其服务的保密性、完整性、可用性、真实性、可核查性、可靠性等六项安全性能。
风险评估应全面、准确了解组织及其信息系统的安全现状,发现系统可能会出现的安全问题,保证系统处于一个高度可信任的状态。同时要分析组织的安全需求,找出目前的安全策略和实际需求的差距,为保护信息系统的安全提供科学依据。风险评估旨在通过提供分析事实的信息,在处理特定风险和选择风险应对策略方面提供科学决策。
4 组建适当的评估管理与实施团队
在评估的准备阶段,评估组织应当组建专门的评估团队,负责执行组织的信息安全风险评估工作,对信息安全风险评估工作的现状进行全面深入了解,提出开展信息安全风险评估的对策和方法,为下一步信息安全的建设和管理做准备。风险评估团队成员是指评估过程中的管理者以及具体评估活动的实施者。风险评估实施团队由管理层、IT技术成员等组成风险评估小组。风险评估领导小组由评估方、被评估方领导和相关部门负责人组成。
5 确定信息安全风险评估依据和方法
根据系统调研结果,确定信息安全风险评估的依据和方法。
信息安全风险评估依据有如下四种:现有国际或国家有关信息安全的标准、组织的信息系统互联单位的安全要求、组织的行业主管机关的业务要求和制度、组织的信息系统本身的实时性或性能要求等。
根据信息安全风险评估依据和信息安全风险评估的目的、范围、时间、效果、评估人员素质等因素,选择一种具体的风险计算方法,并依据组织业务实施对系统安全运行的要求,确定相关的评估判断依据,使之能够与组织环境和安全要求相适应。
6 制订信息风险评估方案
信息安全风险评估方案一般包括如下内容:
(1)团队组织:评估团队成员、角色、组织结构、责任等;
(2)工作计划:整个信息安全风险评估每个阶段的工作计划,即工作内容、形式、成果等;
(3)进度安排:包括时间进度、内容进度等。
信息安全风险评估活动是一个复杂的人为参与过程,为保证评估活动的成功,需制订详细可行的计划,并严格按照时间进度安排实施。
联系客服
