现状调查与风险评估的主要工作任务:
□ 对组织信息安全管理现状进行全面系统的调查,为风险评估提供充分的信息;
□ 识别信息资产;
□ 信息资产估价;
□ 威胁、薄弱点的识别与评价;
□ 现有安全控制的确认;
□ 安全风险测量及优先等级的确定。
风险评估时应考虑以下因素:
□ 信息资产及其价值;
□ 对这些资产的威胁,以及它们发生的可能性;
□ 薄弱点;
□ 已有的安全控制措施;
□ 在进行风险评估时,应考虑以下对应关系:
- 每一项资产可能面临多个威胁;
- 威胁的来源可能不只一个,应从人员(包括内部与外部)、环境(如自然灾害)、资产本身(如设备故障)等方面加以考虑;
- 每一威胁可能利用一个或数个薄弱点。
企业在选择风险评估方法时,应考虑以下内容
组织可以选择不同的风险评估方法,每一种方法都有其优点和不足,在平衡考虑选择哪种评估方法时组织应该考虑:
□ 组织的业务背景;
□ 该业务的性质和重要程度;
□ 组织业务、业务支持系统、应用程序和服务的复杂程度;
□ 组织业务对该信息新系统的依赖程度;
□ 组织业务合作伙伴的多少、外部业务和合同关系;
□ 对这个信息系统投入成本的高低,即为了开发、维护或替换这个信息系统及其资产的成本,这也是一个机构为它直接赋予的价值。
这些因素存在于每一种业务中,在选择评估方法是应该参照这些因素考虑各种方法的优点和不足。通常来说越重要、越关键、一旦发生灾难带来的损失越大的业务,组织应该为其安全投入更多的时间和资源。
现状调查与风险评估的工作流程:
□ 准备工作阶段:确定信息安全管理体系的范围,成立风险评估小组,制定风险评估计划,确定风险评估的方法与工具;
□ 现状调查:对组织的业务运作流程、安全管理机构、资产情况、信息系统网络拓扑结构、安全控制情况、法律法规适用与执行情况进行调查;
□ 列出与信息有关的资产清单,并对每一项资产估价;
□ 识别出资产所面临的威胁及其发生的可能性与潜在影响评价;
□ 识别出被威胁所利用的薄弱点并对其被利用的难易程度进行评价;
□ 对现有的安全控制措施进行确认;
□ 进行风险大小测量并确定优先控制等级;
□ 风险评估结果的评审与批准;
□ 编制适用的法律法规清单并对其符合性进行评估;
□ 结果分析与评价,主要任务是对调查结果进行分析,找出信息安全管理方面的缺陷及组织存在的信息安全风险,明确信息安全要求,选择适当的控制方式予以实施,将风险降低到可接受的水平。