我們為您提供的服務
對信息系統進行風險評估,首先應確保風險分析的內容與范圍應該覆蓋信息系統的整個體系,應包括:系統基本情況分析、信息系統基本安全狀況調查、信息系統安全組織、政策情況分析、信息系統弱點漏洞分析等。
風險評估具體評估過程如下:
確定資產
安全評估的第一步是確定信息系統的資產,并明確資產的價值,資產的價值是由對組織、供應商、合作伙伴、客戶和其他利益相關方在安全事件中對保密性、完整性和可用性的影響來衡量的。資產的范圍很廣,一切需要加以保護的東西都算作資產,包括:信息資產、紙質文件、軟件資產、物理資產、人員、公司形象和聲譽、服務等。資產的評估應當從關鍵業務開始,最終覆蓋所有的關鍵資產。
脆弱性和威脅分析。
對資產進行細致周密的分析,發現它的脆弱點及由脆弱點所引發的威脅,統計分析發生概率、被利用后所造成的損失等。
制定及評估控制措施
在分析各種威脅及它們發生可能性基礎上,研究消除/減輕/轉移威脅風險的手段。這一階段不需要做出什么決策,主要是考慮可能采取的各種安全防范措施和它們的實施成本。制定出的控制措施應當全面,在有針對性的同時,要考慮系統地、根本性的解決方法,為下一階段的決策作充足的準備,同時將風險和措施文檔化。
決策
這一階段包括評估影響,排列風險,制定決策。應當從3 個方面來考慮最終的決策:接受風險、避免風險、轉移風險。對安全風險決策后,明確信息系統所要接受的殘余風險。在分析和決策過程中,要盡可能多地讓更多的人參與進來,從管理層的代表到業務部門的主管,從技術人員到非技術人員。
溝通與交流
由上一階段所做出的決策,必須經過領導層的簽字和批準,并與各方面就決策結論進行溝通。這是很重要的一個過程,溝通能確保所有人員對風險有清醒地認識,并有可能在發現一些以前沒有注意到的脆弱點。
監督實施
最后的步驟是安全措施的實施。實施過程要始終在監督下進行,以確保決策能夠貫穿于工作之中。在實施的同時,要密切注意和分析新的威脅并對控制措施進行必要的修改。另外,由于信息系統及其所在環境的不斷變化,在信息系統的運行過程中,絕對安全的措施是不存在的:攻擊者不斷有新的方法繞過或擾亂系統中的安全措施;系統的變化會帶來新的脆弱點;實施的安全措施會隨著時間而過時等等,所有這些表明,信息系統的風險評估過程是一個動態循環的過程,應周期性的對信息系統安全進行重評估。
