風(fēng)險(xiǎn)評(píng)估的實(shí)施過(guò)程包括信息安全風(fēng)險(xiǎn)評(píng)估準(zhǔn)備、資產(chǎn)識(shí)
別、威脅識(shí)別、脆弱性識(shí)別、已有安全措施確認(rèn)和風(fēng)險(xiǎn)分析六個(gè)
階段。

風(fēng)險(xiǎn)評(píng)估準(zhǔn)備，隨后進(jìn)行資產(chǎn)識(shí)別，威脅識(shí)別，脆弱性識(shí)別。三個(gè)識(shí)別通過(guò)后進(jìn)行已有安全措施的確認(rèn)，隨后進(jìn)入風(fēng)險(xiǎn)分析：風(fēng)險(xiǎn)分析前準(zhǔn)備評(píng)估過(guò)程文檔，然后風(fēng)險(xiǎn)計(jì)算再準(zhǔn)備評(píng)估過(guò)程文檔。風(fēng)險(xiǎn)是否接，是的就保存已有的控制措施，最終實(shí)施風(fēng)險(xiǎn)管理。選擇否的則要選擇適當(dāng)?shù)目刂拼胧┎⒃u(píng)估殘余風(fēng)險(xiǎn)，再是否接受殘余風(fēng)險(xiǎn)，否的就再選擇適當(dāng)?shù)目刂拼胧＝邮艿臍堄囡L(fēng)險(xiǎn)并做出評(píng)估結(jié)果文檔，實(shí)施風(fēng)險(xiǎn)管理。

最重要的是懂風(fēng)險(xiǎn)評(píng)估的基本流程：資產(chǎn)識(shí)別（七大資產(chǎn)）、威脅識(shí)別、脆弱性識(shí)別、不可接受風(fēng)險(xiǎn)處理計(jì)劃

脆弱性與威脅是一對(duì)多、多對(duì)多的，就是說(shuō)一個(gè)脆弱性可能有多個(gè)威脅，一般做的時(shí)候先識(shí)別完脆弱性再對(duì)就識(shí)別威脅

資產(chǎn)識(shí)別小組職責(zé)：
負(fù)責(zé)資產(chǎn)的識(shí)別工作，并向項(xiàng)目負(fù)責(zé)人提交《資產(chǎn)識(shí)別表》、《重要資產(chǎn)賦值表》。
威脅識(shí)別小組職責(zé)：
負(fù)責(zé)對(duì)資產(chǎn)進(jìn)行威脅識(shí)別工作，并向項(xiàng)目負(fù)責(zé)人提交《資產(chǎn)威脅識(shí)別表》。
脆弱性識(shí)別小組職責(zé)：
負(fù)責(zé)對(duì)資產(chǎn)進(jìn)行脆弱性識(shí)別工作，并向項(xiàng)目負(fù)責(zé)人提交《脆弱性匯總表》。
風(fēng)險(xiǎn)分析小組職責(zé)：
項(xiàng)目負(fù)責(zé)人兼任該組組長(zhǎng)，由項(xiàng)目負(fù)責(zé)人組織各相關(guān)人員，在對(duì)資產(chǎn)進(jìn)行安全措施有效性確認(rèn)的基礎(chǔ)上進(jìn)行風(fēng)險(xiǎn)分析，形成最終的風(fēng)險(xiǎn)評(píng)估報(bào)告，并向最高管理者代表提交報(bào)告，由最高管理者代表確認(rèn)。
應(yīng)急響應(yīng)小組職責(zé)：
負(fù)責(zé)針對(duì)風(fēng)險(xiǎn)評(píng)估過(guò)程制定應(yīng)急工作預(yù)案，在出現(xiàn)的意外情況時(shí)進(jìn)行應(yīng)急響應(yīng)。

資產(chǎn)識(shí)別
資產(chǎn)識(shí)別小組參考《深圳市信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施指南》分類(lèi)列明評(píng)估范圍內(nèi)的各項(xiàng)資產(chǎn)，對(duì)資產(chǎn)的重要性程度賦值，篩選出重要資產(chǎn)，并對(duì)重要資產(chǎn)的信息安全三性（保密性、完整性、可用性）進(jìn)行賦值。
主要從以下7類(lèi)資產(chǎn)進(jìn)行識(shí)別：硬件/軟件/文檔和數(shù)據(jù)/業(yè)務(wù)應(yīng)用/人力資源/物理環(huán)境/組織管理
實(shí)施方法主要是風(fēng)險(xiǎn)評(píng)估小組工作人員召開(kāi)會(huì)議討論。

威脅識(shí)別
威脅識(shí)別小組參考《深圳市信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施指南》，分類(lèi)列明重要資產(chǎn)可能面臨的威脅。
實(shí)施方法主要是威脅識(shí)別小組查閱防火墻和IDS的日志，并結(jié)合以往的安全事件記錄，開(kāi)會(huì)討論資產(chǎn)面臨的威脅。

轉(zhuǎn)載于:https://www.cnblogs.com/86ss/p/10857585.html

總結(jié)

以上是生活随笔為你收集整理的信息安全风险评估实施的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。