风险评估包括系统调研、资产识别、威胁分析、脆弱性识别(包括现有控制措施确认)、风险综合分析以及风险控制计划六个阶段,其中脆弱性识别又具体分为物理环境安全、网络安全、系统软件安全、应用信息保护、运行安全、安全管理体系等6个方面的内容。
系统调研是熟悉和了解组织和系统的基本情况,对组织IT战略,业务目标、业务类型和业务流程以及所依赖的信息系统基础架构的基本状况和安全需求等进行调研和诊断。
资产识别主要参照ISO/IEC 17799的要求,围绕组织IT业务流程对信息系统的IT资产进行识别,包括对主要的硬件、软件和数据信息进行信息收集、分类、统计,形成资产列表;综合组织不同层面(管理层、中层、一般员工)对资产重要性的认识和业务信息流分析,对资产价值进行分级标识,确定重要资产列表。
…