风险评估的实施过程包括信息安全风险评估准备、资产识
别、威胁识别、脆弱性识别、已有安全措施确认和风险分析六个
阶段。
风险评估准备,随后进行资产识别,威胁识别,脆弱性识别。三个识别通过后进行已有安全措施的确认,随后进入风险分析:风险分析前准备评估过程文档,然后风险计算再准备评估过程文档。风险是否接,是的就保存已有的控制措施,最终实施风险管理。选择否的则要选择适当的控制措施并评估残余风险,再是否接受残余风险,否的就再选择适当的控制措施。接受的残余风险并做出评估结果文档,实施风险管理。
最重要的是懂风险评估的基本流程:资产识别(七大资产)、威胁识别、脆弱性识别、不可接受风险处理计划
脆弱性与威胁是一对多、多对多的,就是说一个脆弱性可能有多个威胁,一般做的时候先识别完脆弱性再对就识别威胁
资产识别小组职责:
负责资产的识别工作,并向项目负责人提交《资产识别表》、《重要资产赋值表》。
威胁识别小组职责:
负责对资产进行威胁识别工作,并向项目负责人提交《资产威胁识别表》。
脆弱性识别小组职责:
负责对资产进行脆弱性识别工作,并向项目负责人提交《脆弱性汇总表》。
风险分析小组职责:
项目负责人兼任该组组长,由项目负责人组织各相关人员,在对资产进行安全措施有效性确认的基础上进行风险分析,形成最终的风险评估报告,并向最高管理者代表提交报告,由最高管理者代表确认。
应急响应小组职责:
负责针对风险评估过程制定应急工作预案,在出现的意外情况时进行应急响应。
资产识别
资产识别小组参考《深圳市信息安全风险评估实施指南》分类列明评估范围内的各项资产,对资产的重要性程度赋值,筛选出重要资产,并对重要资产的信息安全三性(保密性、完整性、可用性)进行赋值。
主要从以下7类资产进行识别:硬件/软件/文档和数据/业务应用/人力资源/物理环境/组织管理
实施方法主要是风险评估小组工作人员召开会议讨论。
威胁识别
威胁识别小组参考《深圳市信息安全风险评估实施指南》,分类列明重要资产可能面临的威胁。
实施方法主要是威胁识别小组查阅防火墙和IDS的日志,并结合以往的安全事件记录,开会讨论资产面临的威胁。