一、风险评估前准备
1、行政部牵头成立风险评估小组,小组成员至少应该包含:信息安全管理体系负责部门的成员、信息安全重要责任部门的成员。
2、风险评估小组制定信息安全风险评估计划,下发各部门内审员。
3、必要时应对各部门内审员进行风险评估相关知识和表格填写的培训。
二、信息资产的识别
资产范围包括:
1)数据文档资产:客户和公司数据,各种介质的信息文件包括纸质文件。
2)软件资产:应用软件、系统软件、开发工具和适用程序。
3)硬件资产:计算机设备、通讯设备、可移动介质和其他设备。
4)服务:培训服务、租赁服务、公用设施(能源、电力)。
5)人员:人员的资格、技能和经验。
6)无形资产:组织的声誉、商标、形象。
三、识别威胁可以利用的脆弱性
这一步是评估容易被攻击者(或威胁源)攻破(或破坏)的薄弱点,包括基础设施中的弱点、控制中的弱点、员工意识上的弱点、系统中的弱点和设计上的弱点等。包括针对资产所关联的物理环境、组织、人员、管理、硬件、软件、程序、代码、通信设备等多种可能被威胁源所利用并可能导致危害的,由资产自身特性导致的弱点。系统脆弱性往往需要与对应的威胁相结合时才会对系统的安全造成危害。
一个没有对应威胁的脆弱性一般不会造成实在的风险,可以不采取相应的防护措施,但是有必要密切监视这种潜在的风险。注意,脆弱性不仅是由于最初购置或制造时的原因产生的,资产的应用方法、目的的不同、防护措施的不足都可能造成脆弱性。
四、评估威胁发生的可能性
容易度描述的是威胁利用脆弱性而可能发生的容易程度。这里所说的发生容易度与具体的信息系统没有关系。当与控制措施结合之后才形成影响的发生可能性。
五、识别与分析控目前控制手段的有效性
控制措施可以减少风险发生可能性或者减轻发生后的影响。因此,必须识别出控制措施并对其有效性进行评估。根据控制措施的有效性对控制措施赋值,以下简称控制度。公司将控制度的等级划分为1-5(5为基本无效)。每一个等级都要对应相应的有效性系数之后参加风险的计算。
六、分析资产在威胁脆弱性下发生的影响度
影响是指威胁对脆弱性一次成功攻击所产生的负面影响。
影响等级(以下简称影响度)是资产重要度等级和暴露等级的乘积。
确定影响度的定义,本公司采取以下定义和计算方式
影响度=(资产重要度等级*暴露等级)*20%
由资产重要度等级值(1-5)与暴露等级(1-5)相乘,并乘以系数20%取整后,那么影响度等级为:1-5。