風險評估的實施過程包括信息安全風險評估准備、資產識
別、威脅識別、脆弱性識別、已有安全措施確認和風險分析六個
階段。
風險評估准備,隨后進行資產識別,威脅識別,脆弱性識別。三個識別通過后進行已有安全措施的確認,隨后進入風險分析:風險分析前准備評估過程文檔,然后風險計算再准備評估過程文檔。風險是否接,是的就保存已有的控制措施,最終實施風險管理。選擇否的則要選擇適當的控制措施並評估殘余風險,再是否接受殘余風險,否的就再選擇適當的控制措施。接受的殘余風險並做出評估結果文檔,實施風險管理。
最重要的是懂風險評估的基本流程:資產識別(七大資產)、威脅識別、脆弱性識別、不可接受風險處理計划
脆弱性與威脅是一對多、多對多的,就是說一個脆弱性可能有多個威脅,一般做的時候先識別完脆弱性再對就識別威脅
資產識別小組職責:
負責資產的識別工作,並向項目負責人提交《資產識別表》、《重要資產賦值表》。
威脅識別小組職責:
負責對資產進行威脅識別工作,並向項目負責人提交《資產威脅識別表》。
脆弱性識別小組職責:
負責對資產進行脆弱性識別工作,並向項目負責人提交《脆弱性匯總表》。
風險分析小組職責:
項目負責人兼任該組組長,由項目負責人組織各相關人員,在對資產進行安全措施有效性確認的基礎上進行風險分析,形成最終的風險評估報告,並向最高管理者代表提交報告,由最高管理者代表確認。
應急響應小組職責:
負責針對風險評估過程制定應急工作預案,在出現的意外情況時進行應急響應。
資產識別
資產識別小組參考《深圳市信息安全風險評估實施指南》分類列明評估范圍內的各項資產,對資產的重要性程度賦值,篩選出重要資產,並對重要資產的信息安全三性(保密性、完整性、可用性)進行賦值。
主要從以下7類資產進行識別:硬件/軟件/文檔和數據/業務應用/人力資源/物理環境/組織管理
實施方法主要是風險評估小組工作人員召開會議討論。
威脅識別
威脅識別小組參考《深圳市信息安全風險評估實施指南》,分類列明重要資產可能面臨的威脅。
實施方法主要是威脅識別小組查閱防火牆和IDS的日志,並結合以往的安全事件記錄,開會討論資產面臨的威脅。