6.1.2 风险评估的基本过程
风险评估是组织确定信息安全需求的过程,包括资产识别与评价、威胁和弱点评估、控制措施评估、风险认定在内的一系列活动。
根据国家标准GB/T20984-2007《信息安全风险评估规范》,将风险评估定义为如下过程。
1.风险评估准备
风险评估准备是整个风险评估过程有效性的保证。+组织实施风险评估是一种战略性的考虑,其结果将受到组织的业务战略、业务流程、安全需求、系统规模和结构等方面的影响。因此,在风险评估实施前应:
1)确定风险评估的目标;
根据满足组织业务持续发展在安全方面的需要、法律法规的规定等内容,识别现有信息系统及管理上的不足,以及可能造成的风险大小。
2)确定风险评估的范围;
风险评估范围可能是组织全部的信息及与信息处理相关的各类资产、管理机构,也可能是某个独立的信息系统、关键业务流程、与客户知识产权相关的系统或部门等。
3)组建适当的评估管理与实施团队;
风险评估实施团队,由管理层、相关业务骨干、IT技术等人员组成风险评估小组。必要时,可组建由评估方、被评估方领导和相关部门负责人参加的风险评估领导小组,聘请相关专业的技术专家和技术骨干组成专家小组。
评估实施团队应做好评估前的表格、文档、检测工具等各项准备工作,进行风险评估技术培训和保密教育,制定风险评估过程管理相关规定。可根据被评估方要求,双方签署保密合同,适情签署个人保密协议。