|
|
|
风险管理主要包括脆弱性识别、风险计算与分析和风险处置三个方面。
|
|
|
|
|
|
脆弱性是资产自身存在的,如没有被威胁利用,脆弱性本身不会对资产造成损害。如信息系统足够健壮,威胁难以导致安全事件的发生。因此,组织一般通过尽可能消减资产的脆弱性,来阻止或消减威胁造成的影响,所以脆弱性识别是风险评估中最重要的一个环节。
|
|
|
|
脆弱性可从技术和管理两个方面进行识别。技术方面,可从物理环境、网络、主机系统、应用系统、数据等方面识别资产的脆弱性;管理方面,可从技术管理脆弱性和组织管理脆弱性两方面识别资产的脆弱性,技术管理脆弱性与具体技术活动相关,组织管理脆弱性与管理环境相关。
|
|
|
|
|
|
组织或信息系统安全风险需要通过具体的计算方法实现风险值的计算。风险计算方法一般分为定性计算方法和定量计算方法两大类。
|
|
|
|
通过风险计算,应对风险情况进行综合分析与评价。风险分析是基于计算出的风险值确定风险等级。风险评价则是对组织或信息系统总体信息安全风险的评价,首先对风险计算值进行等级化处理。风险等级化处理目的是,对风险的识别直观化,便于对风险进行评价。等级化处理的方法是按照风险值的高低进行等级划分,风险值越高,风险等级越高。风险等级一般可划分为五级:很高、高、中等、低、很低,也可根据项目实际情况确定风险的等级数,如划分为高、中、低三级。
|
|
|
|
|
|
依据风险评估结果,针对风险分析阶段输出的风险评估报告进行风险处置。风险处置方式一般包括接受、消减、转移、规避等。安全整改是风险处置中常用的风险消减方法。风险评估需提出安全整改建议。
|
|
|
|
安全整改建议需根据安全风险的严重程度、加固措施实施的难易程度、降低风险的时间紧迫程度、所投入的人员力量及资金成本等因素综合考虑。
|
|
|
|
(1)对于非常严重、需立即降低且加固措施易于实施的安全风险,建议被评估组织立即采取安全整改措施。
|
|
|
|
(2)对于非常严重、需立即降低,但加固措施不便于实施的安全风险,建议被评估组织立即制定安全整改实施方案,尽快实施安全整改;整改前应对相关安全隐患进行严密监控,并作好应急预案。
|
|
|
|
(3)对于比较严重、需降低且加固措施不易于实施的安全风险,建议被评估组织制定限期实施的整改方案;整改前应对相关安全隐患进行监控。
|
|
|
|
在风险整改建议提出之后,紧接着组织召开的评审会是评估活动结束的重要标志。评审会应由被评估组织组织,评估机构协助。评审会参与人员一般包括:被评估组织、评估机构及专家等。
|
|
|
|
被评估组织包括:单位信息安全主管领导、相关业务部门主管人员、信息技术部门主管人员、参与评估活动的主要人员等;
|
|
|
|
最后,需在评审会中有专门记录人员负责对各位专家发表意见进行记录。评审会成果是会议评审意见。评审意见包括:针对评估项目的实施流程、风险分析的模型与计算方法、评估的结论及评估活动产生的各类文档等内容提出意见。评审意见对于被评估组织是否接受评估结果,具有重要的参考意义。
|
|
|
|
依据评审意见,评估机构应对相关报告进行完善、补充和修改,并将最终修订材料一并提交被评估组织,作为评估项目结束的移交文档。
|
|
|
