风险评估流程大纲纲要.docx

风险评估流程

风险评估是风险管理的基础，是组织确定信息安全要求的途径之一，属于企业信息安全管理体系策划的过程。通过风险评估识别企业所面临的安全风险并确定风险控制的优先等级，从而对其实施有效控制，将风险控制在企业可以接受的范围之内。

1、在风险评估中，考虑的主要因素包括：

1) 信息资产及其价值

2) 对这些资产的威胁，以及它们发生的可能性

3) 薄弱点

4) 已有的安全控制措施

2、风险评估的基本流程如下：

1)按照企业商务运作流程进行信息资产识别，并根据估价原则对信息资产进行估价

2)根据资产所处的环境进行威胁识别与评价

3)对应每一个威胁，对资产或组织存在的薄弱点进行识别与评价

4)对以采取的安全控制进行确认

5)建立风险测量的方法及风险等级评价原则，确定风险的大小与等级

风险评估的形式

风险评估的形式按照评估实施者的不同，可将风险评估形式分为自评估和检查评估两大类。

◇自评估是由被评估信息系统的拥有者依靠自身的力量，对其自身的信息系统进行的风险评估活动。

◇检查评估则通常是被评估信息系统的拥有者的上级主管机关或业务主管机关发起的，

旨在依据已经颁布的法规或标准进行的，具有强制意味的检查活动，是通过行政手段加强信息安全

的重要措施。

自评估和检查评估都可以通过信息安全风险评估服务机构进行风险评估的咨询、服务、培训以及风险评估有关工具的提供。而自评估是企业最不可或缺的安全评估方式，它是检查评估的基础和必要条件。不论是保证企业日常信息系统的正常运行，还是满足上级检查评估，自评估都发挥着举足轻重的作用。

风险评估的流程

一般来说，电信IP 网络风险评估实施过程主要包括以下几个阶段：

1.确定评估范围：调查并了解 IP 网络节点的网络拓扑、评估对象、系统业务流程和运行环境，确定评估范围的边界以及范围内所有的评估对象；

2.资产识别和估价：对评估范围内的所有电信资产进行调查和识别，并根据该资产在

网络中的位置作用、所承载业务系统的重要性、所存储数据的重要程度等因素，对各资产的

相对价值进行评估和赋值；

3.安全漏洞评估：主要通过工具扫描、手工检查、渗透测试、拓扑分析等手段对网络层、系统层以及应用层面的各种安全漏洞进行识别和评估；

4.安全威胁评估：通过问卷调查、 IDS 取样、日志分析等方式识别出资产所面临的各种威胁，并评估它们发生的可能性；

5.安全管理调查：通过调研、问卷调查和人员访谈等方式对节点安全管理措施的完备

性和有效性进行评估；

6.物理安全检查：通过前往机房现场进行检查、人员访谈、问卷调查等方式对物理环

境安全进行检查和评估；

7.风险评估结果分析：根据上述各阶段实施所得到的评估结果，对评估节点的安全现

状进行综合的风险评估，撰写风险评估报告，呈现风险现状。