信息安全风险评估工作课件
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
与之而来的各类计算机犯罪及“黑客”攻击网络事件屡有 发生,手段也越来越高技术化,从而对各国的主权、安全 和社会稳定构成了威胁。
计算机互联网络涉及社会经济生活各个领域,并直接与世 界相联,可以说是国家的一个政治“关口”,一条经济 “命脉”。网络与信息安全已上升为一个事关国家政治稳 定、社会安定、经济有序运行和社会主义精神文明建设的 全局性问题。
步骤四:对信息安全风险进行差距分析和风险计算
任务1:评估信息系统安全现状对信息系统安全要求的符合程度, 即信息系统现有安全措施在当前系统运行环境下是否满足其安全 要求
任务2:对信息系统安全执行能力进行评估,评估信息系统安全级 (包括技术架构能力级、工程能力级和管理能力级的评定),与要 达到目标的安全等级
我看信息安全风险评估工作
宁家骏(国家信息中心) 2005.10
提纲
信息安全与风险评估 风险评估贵在探索 努力研发符合我国特色的评估体系 安全保密需要风险评估
克服安全“亚健康”的必由之 路
医学专家告诉我们:
人的躯体有健康、亚健康和患病等多种状态 但成年人多数处于亚健康状态 如何确认和发现问题,必须体检
绝大多数试点单位大都参照了去年国信办和国家安 标委组织编写的《信息安全风险评估指南》及《信 息安全风险管理指南》。
试点单位大都结合自身的具体情况,选择了相应的 评估方法和适当的安全控制措施及管理流程,实践 经验证明各试点单位评估基于的基本原则和核心方 法与试行标准指南大体吻合一致。
收获和体会
提高了对风险评估工作的认识和理解
典型方法之四:面向关键信息资产的评估方法 (续)
威胁路径分析法 面向关键信息资产的层次分析法 利用等级保护支撑平台的评估方法
试点工作出现了一批成果
上海市的风险评估管理软件
评估模型和方法的创新与探索
北京市利用了已有的工具平台,形成了评估 辅助工具平台
黑龙江提出了基于模糊综合判定理论的风险 评估判定方法
信息系统也一样,在安全状态方面,常常处 于“亚健康”甚至患病状态,因此也要“体 检”—这就是风险评估
环境和背景
近年来,我国经济社会持续快速发展发展,信息化步伐加 快,在促进经济发展、调整经济结构、改造传统产业和提 高人民生活质量等方面发挥了不可替代的重要作用。一方 面社会经济对信息化的依赖程度越来越高,同时逐步建设 和积累了一批宝贵的信息资产。
步骤五:用户根据信息系统安全风险评估的结果进行风险控制, 形成满足其信息系统安全要求的信息系统安全保障能力。
典型方法之三:量化风险
对风险量化计算方法进行扩展
风险的计算方法目前还没有明细的技术标准, 通常效果比较好的计算方式为:
R=A*T*V=E*D;T=Ts*Tf,E=A*Ts, D= Tf* V
其中R为风险值, A为资产价值,T为威胁值, V为脆弱性值,E为资产损失产生的影响,D为 资产暴露程度,Ts为威胁的严重程度,Tf为威 胁发生的可能性。
典型方法之三:量化风险(续)
在本次试点中,结合试点单位评估实践经验、以及 行业管理特性,有的试点单位对风险计算方法进行 了如下的扩展:
R
性 评估方法的百花齐放和创新性
注意控制了评估自身的风险 及时总结经验和问题
典型方法之一:综合风险计算法
评估过程规范化
摸清家底:划分资产类型,建立重要资产清单, 识别资产重要性
分析威胁和分析脆弱性两种途径 按层次分析脆弱性 判定安全时间及其影响 计算威胁风险值 制定风险控制措施
典型方法之一:计算系统综合风险(续)
技术
评测工具, 缺乏统一的要求和资质认定 模拟环境或联机旁路测试环境的不完备和缺乏 测试深度的不平衡
管理 标准规范
试行标准指南总体得到肯定,但尚需进一步完善
下一步建议
认真总结经验 统一规划、建立制度。制定国家基础网络和重要信息系统的风
选择方法
应考虑评估的目的、范围、时间、效果、人员素质等因素来选择具体的风 险判断方法,使之能够与组织环境和安全要求相适应。
获得支持
上述所有内容确定后应得到组织的最高管理者的支持、批准,并对管理和 技术人员进行传达和在组织范围就风险评估进行培训
资产识别
资产是具有价值的信息或资源,是安全策略保护 的对象。它能够以多种形式存在,有无形的、有 形的,有硬件、软件,有文档、代码,也有服务、 形象等。机密性、完整性和可用性是评价资产的 三个安全属性。信息安全风险评估中资产的价值 不仅仅以资产的账面价格来衡量,而是由资产在 这三个安全属性上的达成程度或者其安全属性未 达成时所造成的影响程度来决定的。安全属性达 成程度的不同将使资产具有不同的价值,而资产 面临的威胁、存在的脆弱性、以及已采取的安全 措施都将对资产安全属性的达成程度产生影响。 为此,有必要对组织中的资产进行识别。
—方法科学、机制长效
为国信办风险评估工作文件起草积累了素材 检验了标准,两项试行标准得到了基本肯定 初步规范了评估内容,演练了评估的实施流
程 体现了创新,积累了成果,培训了人才
试点工作技术上特点
方法科学,积极探索 既注意了统一规范,又坚持了方法的多样性
注意遵循和验证标准(讨论稿) 试行了部分评估技术方法,重视了评估的科学
信息安全风险评估是信息系统安全保障机制建立过程 中的一种评价方法,其结果为信息安全风险管理提供 依据。
风险评估的理念
安全需要风险管理,信息安全更需要风 险管理
风险评估是当前解决信息安全问题的重 要手段
风险要素关系示意图
业务战略
依赖
暴露
脆弱性
具有
资产
资产价值
利用
成本
增加
威胁
演变
安全事件
可能诱发
根据资产的表现形式,可将资产分为数据、软件、 硬件、文档、服务、人员等类。
风险评估尚需探索、贵在实践
今年我有幸参加了国信办组织的一些 试点工作
看到了试点单位的成绩和取得的经验, 获益良多
也发现了还有不少问题急需探索和研 究
参与了试点咨询工作
协助修订《关于开展信息安全风险评估工作的意见》,提 供相关的咨询和技术支持。
风险评估是一种方法和依据
信息安全风险是由于资产的重要性,人为或自然的威 胁利用信息系统及其管理体系的脆弱性,导致安全事 件一旦发生所造成的影响。信息安全风险评估是指依 据有关信息安全技术与管理标准,对信息系统及由其 处理、传输和存储的信息的机密性、完整性和可用性 等安全属性进行评价的过程。它要评估资产面临的威 胁以及威胁利用脆弱性导致安全事件的可能性,并结 合安全事件所涉及的资产价值来判断安全事件一旦发 生对组织造成的影响,即信息安全的风险。
资产分类
风险评估中,资产大多属于不同的信息系统,如 OA系统、网管系统、业务生产系统等,而且对于 提供多种业务的组织,其支持业务持续运行的系统 数量可能更多。这时首先需要将信息系统及相关的 资产进行恰当的分类,以此为基础进行下一步的风 险评估。在实际工作中,具体的资产分类方法可以 根据具体的评估对象和要求,由评估者来灵活把握。
典型方法之二:差距分析
风险评估方法-差距分析法
建立分析模型
在风险评估中通过识别、判断和分析目标系统 的安全现状与安全要求之间的差距确定系统风 险的分析方法。也就是说,目标系统的可接受 风险和系统残余风险间的差距就是系统存在的 风险。
构建差距分析法模型
风险分析模型
国家法律法规
系统安全环境
综合分析
率赋值; 对资产的脆弱性进行识别,并对具体资产的脆弱性的严
重程度赋值; 根据威胁和脆弱性的识别结果判断安全事件发生的可能
性; 根据脆弱性的严重程度及安全事件所作用资产的重要性
计算安全事件的损失; 根据安全事件发生的可能性以及安全事件的损失,计算
安全事件一旦发生对组织的影响,即风险值。
不打无准备之仗—做好准备
既有量化的探索,也有定性为主的探索 云南提出了增加业务流分析和已有控制措施
的有效性识别或判定
试点工作出现了一批成果(续)
国家税务总局提出了差距分析法,细化了流 程
国电公司提出了符合行业特点的方法,初步 形成了行业安全评估方法论,涵盖了安全定 义、安全评测和风险分析的全过程
试点工作发现的问题
选择重点单位进行调研,并对关键阶段进行蹲点,以切实了解单位试 点工作过程中存在的问题,为两个标准的完善提供实践素材;
进行试点中期总结,为指导意见提供阶段性素材; 根据试点单位需求,进行有针对性的培训和咨询,协助完成试点工作
参与了试点咨询工作(续)
总结阶段:协助国信办汇总试点工作情况,总 结修改意见,并完善标准。
风险评估准备
威胁识别
已有安全措施的确认
风险计算
是 风险是否接受
否 选择适当的安全措施并评估残余 风险
是否接受残余风险
否
是 实施风险管理
脆弱性识别 评估过程文档 评估过程文档
评估结果文档 风险评估文件记录
……………… …
风险分析主要内容
对资产进行识别,并对资产的重要性进行赋值; 对威胁进行识别,描述威胁的属性,并对威胁出现的频
Vtc Vmc
Vti Vmi
Vta Vma
Ac
Tc
Wt
Ai
Ti
Wm
Voc Voi Voa
Aa
Ta
Wo
其中:c代表“机密性方面的”、i代表“完整性 方面的”、a代表“可用性方面的”,t代表 “技术方面的”、m代表“管理方面的”、o代 表“运维方面的”、W为技术、运维和管理脆 弱性之间的相关性,Wt 、Wm 、Wo 之和等 于1。
导出
风险
残留
残余风险
未控制
百度文库
被满足
安全需求
安全措施
风险分析的基本要素
风险分析中要涉及资产、威胁、脆弱 性等基本要素。
每个要素有各自的属性
资产的属性是资产价值; 威胁的属性是威胁出现的频率; 脆弱性的属性是资产弱点的严重程度。
风险评估实施流程示意图
资产识别
风险分析 保持已有的安全措施 施施施
系系统统安安全全要要求求
对对比比分分析析
风险
系统使命
系统所属行业 安全要求
系系统统安安全全现现状状
差距分析法的实施路径
步骤一 :调研目标系统状况 步骤二:确定信息系统安全要求
任务1:确定信息系统安全等级 任务2:确定和规范化描述信息系统的安全要求
步骤三:评估信息系统安全现状
任务1:信息系统安全现状评估报告
风险评估的准备是整个风险评估过程有效性 的保证。在风险评估实施前,应:
确定风险评估的目标; 确定风险评估的范围; 组建适当的评估管理与实施团队; 选择与组织相适应的具体的风险判断方法; 获得最高管理者对风险评估工作的支持。
风险评估的准备阶段
明确目标
应明确风险评估的目标,为风险评估的过程提供导向。信息系统是重要的 资产,其机密性、完整性和可用性对于维持竞争优势、获利能力、法规要 求和组织形象是必要的。
在各试点单位正式总结之前,召开专家组评审会; 为国信办试点工作总结提供基础素材。
标准的完善
充实和完善《信息安全风险评估指南》和《信息安 全风险管理指南》,通过试点工作提出两个标准的 修改意见。同时进行与标准相关的配套理论、方法 和规范的研究。
试点工作与标准验证
试点工作对去年国信办组织制定的两项试行标准进 行了验证,提出了修订建议
资产综合风险计算三种做法
选择该资产中分析风险最高的作为风险,乘以资产值, 作为该资产风险
将资产中每一威胁的风险之于资产值相乘,得到多个资 产的风险值
构建模型,进行综合计算
综合风险:
R=V*[∑cRti*Qc+∑ARti*QA+∑IRti*Qi] 其中R:总风险,V:该资产得分, ∑为威胁累计 C:机密性,I:完整性,A:可用性
参与试点的相关咨询工作
1、准备阶段:组织八个试点单位的相关人员进行培训,明确风险 评估流程和风险评估准备阶段的任务,协助试点单位制定其风险评 估实施方案。
标准培训 试点方案编制的培训
2、实施阶段:调研试点方案实施情况,了解试点单位对评估及管 理的流程、方法、工具的使用存在的问题,充实和完善标准。
确定范围
基于风险评估目标确定评估范围是完成风险评估的前提。风险评估范围可 能是组织全部的信息及与信息处理相关的各类资产、管理机构,也可能是 某独立的系统,关键业务流程,与客户知识产权相关的系统或部门等。
组建团队
组建适当的风险评估管理与实施团队,以支持整个过程的推进,如成立由 管理层、相关业务骨干、IT技术人员等组成的风险评估小组。评估团队应 能够保证风险评估工作的有效开展。
计算机互联网络涉及社会经济生活各个领域,并直接与世 界相联,可以说是国家的一个政治“关口”,一条经济 “命脉”。网络与信息安全已上升为一个事关国家政治稳 定、社会安定、经济有序运行和社会主义精神文明建设的 全局性问题。
步骤四:对信息安全风险进行差距分析和风险计算
任务1:评估信息系统安全现状对信息系统安全要求的符合程度, 即信息系统现有安全措施在当前系统运行环境下是否满足其安全 要求
任务2:对信息系统安全执行能力进行评估,评估信息系统安全级 (包括技术架构能力级、工程能力级和管理能力级的评定),与要 达到目标的安全等级
我看信息安全风险评估工作
宁家骏(国家信息中心) 2005.10
提纲
信息安全与风险评估 风险评估贵在探索 努力研发符合我国特色的评估体系 安全保密需要风险评估
克服安全“亚健康”的必由之 路
医学专家告诉我们:
人的躯体有健康、亚健康和患病等多种状态 但成年人多数处于亚健康状态 如何确认和发现问题,必须体检
绝大多数试点单位大都参照了去年国信办和国家安 标委组织编写的《信息安全风险评估指南》及《信 息安全风险管理指南》。
试点单位大都结合自身的具体情况,选择了相应的 评估方法和适当的安全控制措施及管理流程,实践 经验证明各试点单位评估基于的基本原则和核心方 法与试行标准指南大体吻合一致。
收获和体会
提高了对风险评估工作的认识和理解
典型方法之四:面向关键信息资产的评估方法 (续)
威胁路径分析法 面向关键信息资产的层次分析法 利用等级保护支撑平台的评估方法
试点工作出现了一批成果
上海市的风险评估管理软件
评估模型和方法的创新与探索
北京市利用了已有的工具平台,形成了评估 辅助工具平台
黑龙江提出了基于模糊综合判定理论的风险 评估判定方法
信息系统也一样,在安全状态方面,常常处 于“亚健康”甚至患病状态,因此也要“体 检”—这就是风险评估
环境和背景
近年来,我国经济社会持续快速发展发展,信息化步伐加 快,在促进经济发展、调整经济结构、改造传统产业和提 高人民生活质量等方面发挥了不可替代的重要作用。一方 面社会经济对信息化的依赖程度越来越高,同时逐步建设 和积累了一批宝贵的信息资产。
步骤五:用户根据信息系统安全风险评估的结果进行风险控制, 形成满足其信息系统安全要求的信息系统安全保障能力。
典型方法之三:量化风险
对风险量化计算方法进行扩展
风险的计算方法目前还没有明细的技术标准, 通常效果比较好的计算方式为:
R=A*T*V=E*D;T=Ts*Tf,E=A*Ts, D= Tf* V
其中R为风险值, A为资产价值,T为威胁值, V为脆弱性值,E为资产损失产生的影响,D为 资产暴露程度,Ts为威胁的严重程度,Tf为威 胁发生的可能性。
典型方法之三:量化风险(续)
在本次试点中,结合试点单位评估实践经验、以及 行业管理特性,有的试点单位对风险计算方法进行 了如下的扩展:
R
性 评估方法的百花齐放和创新性
注意控制了评估自身的风险 及时总结经验和问题
典型方法之一:综合风险计算法
评估过程规范化
摸清家底:划分资产类型,建立重要资产清单, 识别资产重要性
分析威胁和分析脆弱性两种途径 按层次分析脆弱性 判定安全时间及其影响 计算威胁风险值 制定风险控制措施
典型方法之一:计算系统综合风险(续)
技术
评测工具, 缺乏统一的要求和资质认定 模拟环境或联机旁路测试环境的不完备和缺乏 测试深度的不平衡
管理 标准规范
试行标准指南总体得到肯定,但尚需进一步完善
下一步建议
认真总结经验 统一规划、建立制度。制定国家基础网络和重要信息系统的风
选择方法
应考虑评估的目的、范围、时间、效果、人员素质等因素来选择具体的风 险判断方法,使之能够与组织环境和安全要求相适应。
获得支持
上述所有内容确定后应得到组织的最高管理者的支持、批准,并对管理和 技术人员进行传达和在组织范围就风险评估进行培训
资产识别
资产是具有价值的信息或资源,是安全策略保护 的对象。它能够以多种形式存在,有无形的、有 形的,有硬件、软件,有文档、代码,也有服务、 形象等。机密性、完整性和可用性是评价资产的 三个安全属性。信息安全风险评估中资产的价值 不仅仅以资产的账面价格来衡量,而是由资产在 这三个安全属性上的达成程度或者其安全属性未 达成时所造成的影响程度来决定的。安全属性达 成程度的不同将使资产具有不同的价值,而资产 面临的威胁、存在的脆弱性、以及已采取的安全 措施都将对资产安全属性的达成程度产生影响。 为此,有必要对组织中的资产进行识别。
—方法科学、机制长效
为国信办风险评估工作文件起草积累了素材 检验了标准,两项试行标准得到了基本肯定 初步规范了评估内容,演练了评估的实施流
程 体现了创新,积累了成果,培训了人才
试点工作技术上特点
方法科学,积极探索 既注意了统一规范,又坚持了方法的多样性
注意遵循和验证标准(讨论稿) 试行了部分评估技术方法,重视了评估的科学
信息安全风险评估是信息系统安全保障机制建立过程 中的一种评价方法,其结果为信息安全风险管理提供 依据。
风险评估的理念
安全需要风险管理,信息安全更需要风 险管理
风险评估是当前解决信息安全问题的重 要手段
风险要素关系示意图
业务战略
依赖
暴露
脆弱性
具有
资产
资产价值
利用
成本
增加
威胁
演变
安全事件
可能诱发
根据资产的表现形式,可将资产分为数据、软件、 硬件、文档、服务、人员等类。
风险评估尚需探索、贵在实践
今年我有幸参加了国信办组织的一些 试点工作
看到了试点单位的成绩和取得的经验, 获益良多
也发现了还有不少问题急需探索和研 究
参与了试点咨询工作
协助修订《关于开展信息安全风险评估工作的意见》,提 供相关的咨询和技术支持。
风险评估是一种方法和依据
信息安全风险是由于资产的重要性,人为或自然的威 胁利用信息系统及其管理体系的脆弱性,导致安全事 件一旦发生所造成的影响。信息安全风险评估是指依 据有关信息安全技术与管理标准,对信息系统及由其 处理、传输和存储的信息的机密性、完整性和可用性 等安全属性进行评价的过程。它要评估资产面临的威 胁以及威胁利用脆弱性导致安全事件的可能性,并结 合安全事件所涉及的资产价值来判断安全事件一旦发 生对组织造成的影响,即信息安全的风险。
资产分类
风险评估中,资产大多属于不同的信息系统,如 OA系统、网管系统、业务生产系统等,而且对于 提供多种业务的组织,其支持业务持续运行的系统 数量可能更多。这时首先需要将信息系统及相关的 资产进行恰当的分类,以此为基础进行下一步的风 险评估。在实际工作中,具体的资产分类方法可以 根据具体的评估对象和要求,由评估者来灵活把握。
典型方法之二:差距分析
风险评估方法-差距分析法
建立分析模型
在风险评估中通过识别、判断和分析目标系统 的安全现状与安全要求之间的差距确定系统风 险的分析方法。也就是说,目标系统的可接受 风险和系统残余风险间的差距就是系统存在的 风险。
构建差距分析法模型
风险分析模型
国家法律法规
系统安全环境
综合分析
率赋值; 对资产的脆弱性进行识别,并对具体资产的脆弱性的严
重程度赋值; 根据威胁和脆弱性的识别结果判断安全事件发生的可能
性; 根据脆弱性的严重程度及安全事件所作用资产的重要性
计算安全事件的损失; 根据安全事件发生的可能性以及安全事件的损失,计算
安全事件一旦发生对组织的影响,即风险值。
不打无准备之仗—做好准备
既有量化的探索,也有定性为主的探索 云南提出了增加业务流分析和已有控制措施
的有效性识别或判定
试点工作出现了一批成果(续)
国家税务总局提出了差距分析法,细化了流 程
国电公司提出了符合行业特点的方法,初步 形成了行业安全评估方法论,涵盖了安全定 义、安全评测和风险分析的全过程
试点工作发现的问题
选择重点单位进行调研,并对关键阶段进行蹲点,以切实了解单位试 点工作过程中存在的问题,为两个标准的完善提供实践素材;
进行试点中期总结,为指导意见提供阶段性素材; 根据试点单位需求,进行有针对性的培训和咨询,协助完成试点工作
参与了试点咨询工作(续)
总结阶段:协助国信办汇总试点工作情况,总 结修改意见,并完善标准。
风险评估准备
威胁识别
已有安全措施的确认
风险计算
是 风险是否接受
否 选择适当的安全措施并评估残余 风险
是否接受残余风险
否
是 实施风险管理
脆弱性识别 评估过程文档 评估过程文档
评估结果文档 风险评估文件记录
……………… …
风险分析主要内容
对资产进行识别,并对资产的重要性进行赋值; 对威胁进行识别,描述威胁的属性,并对威胁出现的频
Vtc Vmc
Vti Vmi
Vta Vma
Ac
Tc
Wt
Ai
Ti
Wm
Voc Voi Voa
Aa
Ta
Wo
其中:c代表“机密性方面的”、i代表“完整性 方面的”、a代表“可用性方面的”,t代表 “技术方面的”、m代表“管理方面的”、o代 表“运维方面的”、W为技术、运维和管理脆 弱性之间的相关性,Wt 、Wm 、Wo 之和等 于1。
导出
风险
残留
残余风险
未控制
百度文库
被满足
安全需求
安全措施
风险分析的基本要素
风险分析中要涉及资产、威胁、脆弱 性等基本要素。
每个要素有各自的属性
资产的属性是资产价值; 威胁的属性是威胁出现的频率; 脆弱性的属性是资产弱点的严重程度。
风险评估实施流程示意图
资产识别
风险分析 保持已有的安全措施 施施施
系系统统安安全全要要求求
对对比比分分析析
风险
系统使命
系统所属行业 安全要求
系系统统安安全全现现状状
差距分析法的实施路径
步骤一 :调研目标系统状况 步骤二:确定信息系统安全要求
任务1:确定信息系统安全等级 任务2:确定和规范化描述信息系统的安全要求
步骤三:评估信息系统安全现状
任务1:信息系统安全现状评估报告
风险评估的准备是整个风险评估过程有效性 的保证。在风险评估实施前,应:
确定风险评估的目标; 确定风险评估的范围; 组建适当的评估管理与实施团队; 选择与组织相适应的具体的风险判断方法; 获得最高管理者对风险评估工作的支持。
风险评估的准备阶段
明确目标
应明确风险评估的目标,为风险评估的过程提供导向。信息系统是重要的 资产,其机密性、完整性和可用性对于维持竞争优势、获利能力、法规要 求和组织形象是必要的。
在各试点单位正式总结之前,召开专家组评审会; 为国信办试点工作总结提供基础素材。
标准的完善
充实和完善《信息安全风险评估指南》和《信息安 全风险管理指南》,通过试点工作提出两个标准的 修改意见。同时进行与标准相关的配套理论、方法 和规范的研究。
试点工作与标准验证
试点工作对去年国信办组织制定的两项试行标准进 行了验证,提出了修订建议
资产综合风险计算三种做法
选择该资产中分析风险最高的作为风险,乘以资产值, 作为该资产风险
将资产中每一威胁的风险之于资产值相乘,得到多个资 产的风险值
构建模型,进行综合计算
综合风险:
R=V*[∑cRti*Qc+∑ARti*QA+∑IRti*Qi] 其中R:总风险,V:该资产得分, ∑为威胁累计 C:机密性,I:完整性,A:可用性
参与试点的相关咨询工作
1、准备阶段:组织八个试点单位的相关人员进行培训,明确风险 评估流程和风险评估准备阶段的任务,协助试点单位制定其风险评 估实施方案。
标准培训 试点方案编制的培训
2、实施阶段:调研试点方案实施情况,了解试点单位对评估及管 理的流程、方法、工具的使用存在的问题,充实和完善标准。
确定范围
基于风险评估目标确定评估范围是完成风险评估的前提。风险评估范围可 能是组织全部的信息及与信息处理相关的各类资产、管理机构,也可能是 某独立的系统,关键业务流程,与客户知识产权相关的系统或部门等。
组建团队
组建适当的风险评估管理与实施团队,以支持整个过程的推进,如成立由 管理层、相关业务骨干、IT技术人员等组成的风险评估小组。评估团队应 能够保证风险评估工作的有效开展。