对于信息安全管理体系来说,风险评估是体系运行的重中之重,是体系运行的基础。
1、成立风险评估小组:管理层牵头成立风险评估小组,小组成员应包含信息安全重要责任部门的成员。
3、资产识别:各部门提交识别后的信息资产至信息安全风险评估小组,由信息安全风险评估小组对各部门提交的资产进行全方位检查,确保各部门资产被100%识别。
小咨点评:信息资产识别需要每个部门的参与,毕竟只有在部门工作的人,才最清楚熟悉自己部门的构成和工作流程,并且在后续的评估工作中,代表部门去评估风险。
信息资产是对组织有价值的知识或数据,至于信息资产的具体分类,将会在之后的课程中讲解。
2、赋值计算:资产赋值的过程是对资产在保密性、完整性、可用性和法律和法规合同上的达成程度做多元化的分析,并在此基础上得出综合结果的过程。
3、赋值:赋值包括保密性(C)赋值、完整性(I)赋值、可用性(A)赋值、法规合同符合性(L)赋值四个方面。
小咨点评:根据整理出来的信息资产清单,评估小组从4个维度对资产进行评分,用来判定资产在某个方面的重要性,是风险评估前很重要的一步!
重要性值=保密性(赋值)+完整性(赋值)+可用性(赋值)+法律与法规符合性(赋值)
2、审核确认:风险评估小组对各部门资产识别情况做审核,确保没有遗漏重要资产,导出《重要资产清单》,报总经理确认。
小咨点评:根据上一环节评判出的各个维度的分数,统计出这个资产的赋值,最终得出这个资产的重要性等级。
要求:应对所有的重要资产进行风险评估,评估应考虑威胁、脆弱性、威胁事件发生的可能性和威胁事件发生后对资产造成的影响程度及已经采取的措施等方面因素。
小咨点评:对我们分析出来的重要资产,要从威胁和脆弱性两个方面做评估,评估的时候要结合企业现有的控制措施,若现有控制措施有效,则在对威胁和脆弱性打分时,能够更好的降低相关方面的分值,避免影响下一步中关于风险等级的评估。
1、风险计算原理:在完成了资产识别、威胁识别、脆弱性识别,以及已有安全措施确认后,将采取了适当的方法与工具确定威胁利用脆弱性导致安全事件发生的可能性。综合安全事件所作用的资产价值及脆弱性的严重程度,判断安全事件造成的损失对组织的影响,即安全风险。包括三个关键计算环节:计算安全事件发生的可能性、计算安全事件发生后造成的损失、计算风险值。
根据风险等级,以本公司确定的高风险等级为不可接受的风险。导出《信息安全风险评估表》,报总经理批准。
对可接受风险,可保持已有的安全措施;如果是不可接受风险(高风险),则需要采取安全措施以降低、控制风险。
2、报告:导出《信息安全风险评估报告》,陈述现状,分析风险,提出建议与措施,提交管理层审核。
3、审核:管理层对《信息安全风险评估报告》及《风险处理计划》的内容审核,对认为不合适的控制或风险解决方法等提出说明,由风险评估小组协同有关部门重新考虑管理层的意见,选择其他的控制或风险解决方法,并重新提交管理层审核,由信息安全管理员批准实施。
4、实施:各责任部门按照批准后的《风险处理计划》的要求采取比较有效安全控制措施,确保所采取的控制措施是有效的。
小咨点评:对于高风险的处理,有多种手段能够更好的降低风险等级,企业要根据自身的条件,投入适当的人力物力去降低风险。当投入成本过高时,能采用转移等方法,将风险转嫁。若公司出于一些原因不采取一定的措施,选择接受风险也能的,但要最高领导者审批同意哦!
1、再评估:对采取安全措施处理后的风险,管理层应进行再评估,以判断实施安全措施后的残余风险是不是已经降低到可接受的水平。
2、再处理:某些风险可能在选择了适当的安全措施后仍处于不可接受的风险范围内,应考虑是不是接受此风险或进一步增加相应的安全措施。
3、审核批准:剩余风险评估完成后,导出《剩余风险评估报告》,报管理者代表审核、最高管理者批准。
小咨点评:剩余风险若全部都已降低到低风险,处于可接受水平,则可以不采取进一步措施。若风险仍较高,则需要仔细考虑是否继续降低风险或选择接受风险,无论采取哪种措施,都需要管理层批准!
