2. 风险评估
风险评估确定信息资产的价值、识别适用的威胁和(存在或可能存在的)脆弱点、识别现有控制措施及其对已识别风险的影响,确定潜在后果,对风险进行最终的优先级排序,并按照风险范畴中设定的风险评价准则进行排名。
风险评估的目的是通过风险评估的结果,来获得信息安全需求,信息安全风险管理要依靠风险评估的结果来确定随后的风险处理和批准监督活动。风险评估使得组织能够准确定位风险管理的策略、实践和工具,能够将安全活动的重点放在重要的问题上,能够选择有合理成本效益的和适用的安全对策。基于风险评估的风险管理方法被实践证明是有效的和实用的,已被广泛应用于各个领域。
风险评估的过程包括风险评估准备、风险要素识别、风险分析和风险结果判定四个阶段。在信息安全风险管理过程中,风险评估活动接受背景建立阶段的输出,形成本阶段的最终输出《风险评估报告》,此文档为风险处理活动提供输入。监控审查和沟通咨询贯穿风险评估的四个阶段。
1)风险评估准备
制定风险评估计划制定风险评估方案
选择风险评估方法和工具
2)风险要素识别
识别需要保护的资产并赋值识别面临的威胁并赋值
识别存在的脆弱性并赋值确认已有的安全措施
3)风险分析
计算安全事件发生的可能性计算安全事件造成的损失
实施风险计算
4)风险结果判定评价分析结果
综合判定风险等级