信息安全风险评估的策划 - 科飞咨询.pdfVIP

信息安全风险评估的策划 Preparation for information security risk assessment 科飞管理咨询公司 王毅刚 吴昌伦 摘要：本文提出了组织在进行信息安全风险评估时，在策划阶段应关注的一些问题，以保证整个风险评估 过程的有效性。 关键词： 信息安全 风险评估 策划 Abstract: This paper gives some suggestions to information security risk assessment in preparation stage in order to keep the course effective. Keyword: information security; risk assessment; preparation 随着各类组织的信息化程度的提高，使得信息系统越来越复杂，在业务运作的过程中生 成大量的数据，组织的发展对信息的依赖程度也越来越大，这样信息安全管理成了组织风险 管理的重要组成部分。如何保障信息安全是每个现代组织所面临的共同问题，信息安全风险 评估逐渐被引入组织的管理体系当中。目前，我国也正在制定相应的风险评估及风险管理指 南。国际上的风险评估（管理）指南，基本上比较注重可操作性和通用性，对于风险评估的 过程描述得比较清晰，也强调了风险评估的准备阶段的要求和任务，笔者认为风险评估作为 一个过程，应该特别注意其策划阶段的活动，本文主要结合实施风险评估的一点经验，简单 提出在策划阶段应关注的一些问题。 一、确定风险评估范围 风险评估作为一个过程，或者说一个项目，在最初应确定其范围。组织进行风险评 估可能是由于自身商业要求及战略目标的要求，相关方的要求或其他原因，因此应根据 上述原因确定风险评估范围。范围可能是组织全部的信息和信息系统，可能是单独的信 息系统，可能是组织的关键业务流程，也可能是客户的知识产权。例如国内某半导体代 工企业为了满足其技术合作方在技术转移方面的要求而采取BS7799-2:2002 标准建立信 息安全管理体系（ISMS ），在建立体系的过程中，他们设定了ISMS 的范围，这个范围 其实就是包含客户 IP 的信息流所涉及的业务流程和部门。这样在体系建立过程中的风 险评估就针对这样的范围进行，以满足相关方的要求。 组织在确定范围的时候，不应该是随便指定一个范围，而是应该清醒的分析组织业 务战略的要求，否则整个风险评估可能耗费大量的资源，却没有达到预期的效果。如果 风险评估的范围过大，经常会导致对于收集到的信息进行分析分析时感到困难，设定一 个对于组织来说“易于管理”的范围对于风险评估的项目安排及活动的实施都会降低其 难度。范围的界定可以从下面的一个思路进行考虑： 1）为满足组织业务战略要求，组织承担着那些重要的商务活动； 2 ）流程当中有哪些信息和信息系统是必须依赖的； 1 3 ）重要的商务活动涉及到那些人员和部门； 上面三个问题基本上涉及到了组织的业务流程、信息资产、地理范围，风险评估的 范围也可以从这三个方面来进行描述。实际上对于组织而言，划定范围就是把最重要的 “区域”放在最优先、最高频率的位置上进行评估，而不是将全部“区域”的信息资产 一把抓，解决好了哪些“区域”是“重要区域”的问题，范围就可以清晰地被定义了。 二、确定风险评估目标 组织应明确风险评估的目标，为风险评估的过程提供导向。支持组织的信息、系 统、应用软件和网络是组织重要的资产。资产的必威体育官网网址性，完整性和可用性对于维持竞争 优势，现金流动，获利能力，法规要求和一个组织的形象是必要的。组织要面对来自四 面八方日益增长的安全威胁。一个组织的系统、应用软件和网络可能是严重威胁的目标。 同时，由于组织的信息化程度不断提高，对基于信息系统和服务技术的依赖日益增加， 一个组织则可能出现更多的脆弱性。组织的风险评估的目标基本上来源于组织业务持续 发展的需要、满足相关方的要求、满足法律法规的要求等方面。 三、建立适当的组