风险评估的基本过程-计划和准备

风险评估的基本过程-计划和准备
    风险评估是组织确定信息安全需求的过程，包括资产识别与评价、威胁和弱点评估、控
制措施评估、风险认定在内的一系列活动。图3.1 所示就是风险评估完整的过程模型。

计划和准备

组织在正式进行风险评估之前，应该制定一个有效的风险评估计划，明确风险评估的目
标，限定评估的范围，建立相关的组织结构并委派责任，并采取有效措施来采集风险评估所
需的信息和数据。具体来说，风险评估计划应该包括以下内容：

· 目标 —— 开展风险评估活动的目的，期望得到的输出结果，关键的约束条件（时
间、成本、技术、策略、资源等）。

· 范围和边界 —— 既定的风险评估可能只针对组织全部资产（包括其弱点、威胁
事件和威胁源等）的一个子集，评估范围必须首先明确。例如，研究范围也许只是
确定某项特定资产的风险，或者与一种新型攻击或威胁源相关的风险。此外，必须
定义风险评估的物理边界和逻辑边界。逻辑分析边界定义了分析所需的广度和深
度，而物理系统边界则定义了一个系统起于哪里止于何处，比如一个与外部系统相
连的系统，必须对其所有的接口特性进行描述。

· 系统描述 —— 进行风险评估的一个先决条件就是对受评估系统的需求、操作概
念和系统资产特性有一个清晰的认识，必须识别评估边界内所有的系统。

· 角色和责任 —— 组织应该成立一个专门的风险评估小组，小组应该包括具有安
全评估经验和熟悉组织运作情况的成员，还应该包括管理层、业务部门、人力资源、
IT 系统和来自用户的代表，如果需要，还应该聘请外部的风险评估专家来参与项
目。此外，组织的信息安全官、IT 系统安全管理员也都应该承担各自的责任。最
重要的一点，组织的高级管理层一定要参与并支持风险评估项目。

· 风险评估行动计划 —— 确定风险评估的途径和方法，计划评估步骤。

· 风险接受标准 —— 事先明确组织能够接受的风险的水平或者等级。

· 风险评估适用表格 —— 为风险评估过程拟订标准化的表格、模板、问卷等材料。
制定风险评估计划之后，组织首先要为正式实施风险评估做准备。准备阶段的主要工作
就是通过多种途径去采集信息，包括：

· 专家经验（来自内部或外部专家、专业组织的统计公布信息）

· 集体讨论或小组讨论

· 系统分析（包括技术性分析和业务分析）

· 人员访谈

· 调查问卷

· 文件审核（包括政策法规、安全策略、设计文档、操作指南、审计记录等）

· 以前的审计和评估结果

· 对外部案例和场景的分析

· 现场勘查

通过以上途径采集的信息，可以供风险评估各个阶段的活动分析使用，包括资产识别与
评价、威胁评估、弱点评估等。