风险评估是组织确定信息安全需求的一个重要途径,属于组织安全管理策划的过程。 风险评估工作包括:
1)确定保护的对象(保护资产)是什么?它们直接和间接价值?
2)资产面临哪些潜在威胁?导致威胁的问题所在?威胁发生的可能性有多大?
3)资产中存在哪里弱点可能会被威胁所利用?利用的容易程序又如何?
4)一旦威胁事件发生,组织会遭受怎样的损失或者面临怎样的负面影响?
一项需要保护的资产,识别可能被威胁利用的弱点,并对脆弱性的严重程度进行评估;也可以从物理、网络、系统、应用等层次进行识别,然后与资产、威胁对应起来。脆弱性识别的依据可以是国际或国家安全标准,也可以是行业规范、应用流程的安全要求。对应用在不同环境中的相同的弱点,其脆弱性严重程度是不同的,评估者应从组织安全策略的角度考虑、 判断资产的脆弱性及其严重程度。信息系统所采用的协议、应用流程的完备与否、与其他网络的互联等也应考虑在内。