学习《计算机网络安全》
风险评估的实施
风险管理过程
信息安全风险管理的内容和过程如图
信息安全风险管理的内容和过程
image.png
背景建立、风险评估、风险处理与批准监督是信息安全风险管理4个基本步骤。
(1)背景建立:这一阶段主要是确定风险管理的对象和范围,进行相关信息的调查分析,准备风险管理的实施。
(2)风险评估:这一阶段主要是根据风险管理的范围识别资产,分析信息系统所面临的威胁以及资产的脆弱性,结合采用的安全控制措施,在技术和管理两个层面对信息系统所面临的风险进行综合判断,并对风险评估结果进行等级化处理。
(3)风险处理:这一阶段主要是综合考虑风险控制的成本和风险造成的影响,从技术、组织和管理层面分析信息系统的安全需求,提出实际可行的安全措施。明确信息系统可接受的残余风险,采取接受、降低、规避或转移等控制措施。
(4)批准监督:这一阶段主要包括批准和持续监督两部分。依据风险评估的结果和处理措施能否满足信息系统的安全要求,决策层决定是否认可风险管理活动。监控人员对机构、信息系统、信息安全相关环境的变化进行持续监督,在可能引入新的安全风险并影响到安全保障级别时,启动新一轮风险评估和风险处理。
监控审查与沟通咨询贯穿于上述4个基本步骤之中,跟踪系统和信息安全需求的变化,对风险管理活动的过程和成本进行有效控制。
