风险评估流程.doc

风险评估流程    风险评估是风险管理的基础,是组织确定信息安全要求的途径之一,属于企业信息安全管理体系策划的过程。通过风险评估识别企业所面临的安全风险并确定风险控制的优先等级,从而对其实施有效控制,将风险控制在企业可以接受的范围之内。1、在风险评估中,考虑的主要因素包括:    1)信息资产及其价值    2)对这些资产的威胁,以及它们发生的可能性    3)薄弱点    4)已有的安全控制措施2、风险评估的基本流程如下:    1)按照企业商务运作流程进行信息资产识别,并根据估价原则对信息资产进行估价    2)根据资产所处的环境进行威胁识别与评价    3)对应每一个威胁,对资产或组织存在的薄弱点进行识别与评价    4)对以采取的安全控制进行确认    5)建立风险测量的方法及风险等级评价原则,确定风险的大小与等级风险评估的形式    风险评估的形式按照评估实施者的不同,可将风险评估形式分为自评估和检查评估两大类。    ◇自评估是由被评估信息系统的拥有者依靠自身的力量,对其自身的信息系统进行的风险评估活动。    ◇检查评估则通常是被评估信息系统的拥有者的上级主管机关或业务主管机关发起的,旨在依据已经颁布的法规或标准进行的,具有强制意味的检查活动,是通过行政手段加强信息安全的重要措施。    自评估和检查评估都可以通过信息安全风险评估服务机构进行风险评估的咨询、服务、培训以及风险评估有关工具的提供。而自评估是企业最不可或缺的安全评估方式,它是检查评估的基础和必要条件。不论是保证企业日常信息系统的正常运行,还是满足上级检查评估,自评估都发挥着举足轻重的作用。风险评估的流程一般来说,电信IP网络风险评估实施过程主要包括以下几个阶段: :调查并了解IP网络节点的网络拓扑、评估对象、系统业务流程和运行环境,确定评估范围的边界以及范围内所有的评估对象; :对评估范围内的所有电信资产进