风险管理过程模型
发布时间:2010-09-07   录入:启明星辰

组织的信息安全评估包括技术评估和管理评估。风险评估包括资产评估、威胁分析、弱点分析、风险计算等方面。


安全风险报告


提交组织安全风险报告,获知组织安全风险状况是安全评估的主要目标。通过上述描述的重要过程,向组织提交组织风险评估综合报告,主要目的是提供风险列表,归类风险等级。


风险评估管理系统


根据对组织安全风险分析与风险评估的结果,建立组织的风险评估管理系统RAMS,将风险评估结果入库保存,为安全管理和问题追踪提供数据基础。风险评估管理系统还包括设备弱点库和弱点资料库。风险评估管理系统提供WEB方式的用户操作界面。

 

安全需求分析


根据组织安全风险评估报告,确定组织的有效安全需求。获知组织需要立即解决的安全问题,获知组织面临的巨大安全威胁,获知组织将有可能面临的巨大经济损失,和潜在的重要安全影响等。同时在考虑组织安全建设投资的合理性、针对性、适当性、有效性。


 安全建议


依据风险评估结果,提出相关建议,协助构建组织安全体系结构,结合组织本地、远程网络架构,依据策略,为组织制定完整动态的安全解决方案提供参考。考虑的方面包括物理环境、网络结构、网络服务、网管系统、主机系统、数据、应用系统、安全系统、安全相关人员、处理流程、安全管理制度、安全策略等内容,并且注重高可用性、动态性、整体性。


风险控制


根据组织安全风险报告,结合组织特点,针对组织面对的安全风险,分析将面对的安全影响,提供相应的风险控制建议。风险控制包括降低、控制、转移风险,以及不加控制的残余风险。通过风险控制最终使系统风险转变为可以接受的残余风险。在降低风险的需求和风险控制的代价之间取得平衡。风险控制措施通常也可以放在风险评估报告中,通过与相应风险对象的对应,可以使得用户知道为什么选择该措施。


监控审核


在整个组织的风险管理过程中,每一个步骤都需要进行监控和审核程序,保证整个评估过程的规范,安全,可信。监控和审核任务将由组织组建的风险评估项目组以及特别专家组执行。


沟通、咨询与文档管理

 

对于整个风险管理过程的沟通、咨询是保证风险评估项目成功实施很关键的因素。在整个风险管理、评估过程中,针对每一个步骤应该交流风险管理经验,同时形成相关文档,保留资料。在项目进展过程中,风险评估的方法和结果可能发生变化,所以,详细而完整的文档和材料非常重要。

文章来源:http://www.venustech.com.cn/
  • 公司总部 | 分支机构 | 法律声明 | 投资者关系 | 400-624-3900 800-810-6038
  • © 启明星辰1996-2015 版权所有 京ICP备05032414号 京公网安备110108003435号