5.风险评估途径
1)基线评估( Baseline Risk Assessment,BRA):
安全基线是诸多标准规范中规定的一组安全控制措施或者惯例,这些措施和惯例适用于特定环境下的所有系统,可以满足基本的安全需求,使系统能达到一定的安全防护水平。
可选的安全基线包括:国际标准和国家标准,例如BS2'7001、信息安全等级保护;行业标准或推荐,例如德国联邦安全局IT基线保护手册;来自其他有类似商务目标和规模的组织的惯例等。
适用范围:组织的商业运作不是很复杂,对信息处理和网络的依赖性不是很高,或者组织信息系统多采用普遍且标准化的模式。
评估策略:根据组织实际的情况,对信息系统进行基线检查(用现有的安全措施与安全基线规定的措施进行比较,找出差距),得出基本的安全需求。通过选择并实施标准的安全措施来消减风险和控制风险。
2)详细评估
对资产进行详细识别和评价,对可能引起风险的威胁和弱点水平进行评估,根据风险评估的结果来识别和选择安全措施。即识别资产的风险并将风险降到可接受的水平,以此证明管理者所采用的安全措施是恰当的。
3)组合评估:
采用基于基线评估与详细评估两者之间的评估方式。
方法:组织应先对所有系统进行一次初步的高级风险评估。着眼与信息系统的商务价值和可禽邑面临的风险,识别出组织内具有高风险或对其商务运作极为关键的信息资产(或系统),这些资产或系统应划分在详细风险评估的范围√而其他系统则可以通过基线风险评估直接选择安全措施。