首頁 考試吧論壇 Exam8視線 考試商城 網(wǎng)絡課程 模擬考試 考友錄 實用文檔 求職招聘 論文下載
2011中考 | 2011高考 | 2012考研 | 考研培訓 | 在職研 | 自學考試 | 成人高考 | 法律碩士 | MBA考試
MPA考試 | 中科院
四六級 | 職稱英語 | 商務英語 | 公共英語 | 托福 | 雅思 | 專四專八 | 口譯筆譯 | 博思 | GRE GMAT
新概念英語 | 成人英語三級 | 申碩英語 | 攻碩英語 | 職稱日語 | 日語學習 | 法語 | 德語 | 韓語
計算機等級考試 | 軟件水平考試 | 職稱計算機 | 微軟認證 | 思科認證 | Oracle認證 | Linux認證
華為認證 | Java認證
公務員 | 報關員 | 銀行從業(yè)資格 | 證券從業(yè)資格 | 期貨從業(yè)資格 | 司法考試 | 法律顧問 | 導游資格
報檢員 | 教師資格 | 社會工作者 | 外銷員 | 國際商務師 | 跟單員 | 單證員 | 物流師 | 價格鑒證師
人力資源 | 管理咨詢師考試 | 秘書資格 | 心理咨詢師考試 | 出版專業(yè)資格 | 廣告師職業(yè)水平
駕駛員 | 網(wǎng)絡編輯
衛(wèi)生資格 | 執(zhí)業(yè)醫(yī)師 | 執(zhí)業(yè)藥師 | 執(zhí)業(yè)護士
會計從業(yè)資格考試會計證) | 經(jīng)濟師 | 會計職稱 | 注冊會計師 | 審計師 | 注冊稅務師
注冊資產評估師 | 高級會計師 | ACCA | 統(tǒng)計師 | 精算師 | 理財規(guī)劃師 | 國際內審師
一級建造師 | 二級建造師 | 造價工程師 | 造價員 | 咨詢工程師 | 監(jiān)理工程師 | 安全工程師
質量工程師 | 物業(yè)管理師 | 招標師 | 結構工程師 | 建筑師 | 房地產估價師 | 土地估價師 | 巖土師
設備監(jiān)理師 | 房地產經(jīng)紀人 | 投資項目管理師 | 土地登記代理人 | 環(huán)境影響評價師 | 環(huán)保工程師
城市規(guī)劃師 | 公路監(jiān)理師 | 公路造價師 | 安全評價師 | 電氣工程師 | 注冊測繪師 | 注冊計量師
繽紛校園 | 實用文檔 | 英語學習 | 作文大全 | 求職招聘 | 論文下載 | 訪談 | 游戲
您現(xiàn)在的位置: 考試吧(Exam8.com) > 軟件水平考試 > 復習資料 > 信息系統(tǒng)運行管理員 > 正文

信息系統(tǒng)安全風險評估應用:基礎知識

  在開始進行實際的信息系統(tǒng)安全風險評估操作前,先來了解一些有關信息系統(tǒng)安全風險評估的基礎知識,明白一些與安全風險評估相關的術語,將有助于讓你明了要如何才能完成一次信息系統(tǒng)安全風險評估。
  一、我們?yōu)槭裁葱枰畔⑾到y(tǒng)安全風險評估
  很顯然,當要我們很欣然地接受和使用某一種新技術來協(xié)助我們進行安全防范工作時,這種技術就必需有能夠驅使我們去使用它的理由。這此理由也就是這種技術在某 個安全防范方面的主要作用,而我們也就是沖它的這些主要作用才去使用它的。
  對于信息系統(tǒng)安全風險評估來說,我們在的開頭中已經(jīng)大概了解了他的定義,從它的定義當中,我們可以了解到風險評估可以在信息系統(tǒng)的生命周期的各個階段使用。由于信息系統(tǒng)生命周期的各個階段的安全防范目的不同,致使使用風險評估的目的也各不相同,因此,信息系統(tǒng)生命周期每個階段進行的風險評估產生的作用也各不相同。
  信息系統(tǒng)的生命周期分為設計、實施、運行維護和最終銷毀這四個主要階段,每個階段進行相應的信息系統(tǒng)安全風險評估的主要作用如下所示:
  1、在信息系統(tǒng)生命周期的設計和實施階段,使用信息系統(tǒng)安全風險評估可以起到了解目前系統(tǒng)到底需要什么樣的安全防范措施,幫助制定有效的安全防范策略,確定安全防范的投入最佳成本,說服機構領導同意安全策略的完全實施等作用。
  2、在信息系統(tǒng)生命周期的運行維護階段,使用信息系統(tǒng)安全風險評估可以起到如下的作用:
  (1)了解防火墻、IDS及其它安全設備是否真的按原先配置的意圖在運行,它們實際的安全防范效果是否有滿足安全目標的要求;
 。2)了解安全防范策略是否切合實際,是否被全面執(zhí)行;
  (3)檢驗機構內部員工的安全意識,網(wǎng)絡操作行為及數(shù)據(jù)使用方式是否正常;
 。4)當信息系統(tǒng)因某種原因做出硬件或軟件調整后,使用信息系統(tǒng)安全風險評估來確定原本的安全
  措施是否依然有效,如果不行,應當在哪些方面做出相應的修改等等。
  3、在信息系統(tǒng)生命周期的最終銷毀階段,可以使用信息系統(tǒng)安全風險評估來檢驗應當完全銷毀的
  數(shù)據(jù)或設備,確實已經(jīng)不能被任何方式所恢復;淘汰的信息系統(tǒng)中的設備確實已經(jīng)被妥善保管,沒有被流失出去的危險等作用。
  二、信息系統(tǒng)安全風險評估的通用處理流程
  信息系統(tǒng)安全風險評估不是一個可以隨意就能完成的任務,為了能保證風險評估按一定的方式有序、正確地執(zhí)行,以及評估結果的真實有效;也為了能減少在風險評估過程中有可能產生的有意或無意錯誤;同時還為了提高風險評估的效率,縮短評估的時間,以減少對正常業(yè)務的影響。為信息系統(tǒng)安全風險的評估工作制定一個有效的處理流程是很有必要的。
  在現(xiàn)在出現(xiàn)了的一些信息系統(tǒng)風險評估標準中(例如我國,在2006年3月7日,由國務院信息化辦公室印發(fā)的《信息安全風險評估指南》),已經(jīng)提出了處理風險評估的通用流程。但是,這些通用的風險評估流程并不包括具體細節(jié),你和你的風險評估團隊應當根據(jù)需要評估的對象來自行決定。同時,我們在風險評估過程中,還要以這些風險評估標準作為評估結果的參考標準,以便給出具體的風險評估值。
  在這里,我同樣只給出這個通用信息系統(tǒng)安全風險評估流程的主框架,具體的處理細節(jié)會在第二節(jié)中詳細說明。這個通徹的風險評估處理流程如下所示:
  1、信息系統(tǒng)安全風險評估準備階段
  2、信息系統(tǒng)安全風險評估對象風險檢測階段
  3、信息系統(tǒng)安全風險評估對象風險檢測結果分析及給出評估報告階段
  4、后期安全維護階段
  三、了解信息系統(tǒng)安全風險評估中的三個重要術語
  1、評估對象
  在信息系統(tǒng)安全風險評估過程中,我們首先要做的就是指定評估的具體對象,也就是限制評估的具體物理和技術范圍。在信息系統(tǒng)當中,評估對象是與信息系統(tǒng)中的軟硬件組成部分相對應的。例如,信息系統(tǒng)中包括各種服務器、服務器上運行的操作系統(tǒng)及各種服務程序、各種網(wǎng)絡連接設備、各種安全防范設備或應用程序、物理安全保障設備,這些都可以是構成獨立的評估對象,甚至連使用這些信息系統(tǒng)的人也可以作為一個評估對象?偟膩碚f,目前可以將整個計算機信息系統(tǒng)分為六個主要的評估對象:
 。1)、信息安全風險評估
 。2)、業(yè)務流程安全風險評估
  (3)、網(wǎng)絡安全風險評估
  (4)、通信安全風險評估
 。5)、無線安全風險評估
 。6)、物理安全風險評估
  2、評估項目
  信息系統(tǒng)安全風險評估的評估項目是針對某個具體的評估對象來定的,用來決定評估對象具體要評估的某個方面,例如,對于物理安全風險評估,就需要對評估對象所在的周邊環(huán)境進行安全風險評估,以及對評估對象已經(jīng)完成的物理安全措施進行風險評估等,這些就是信息系統(tǒng)安全的風險評估項目。
  每一個評估對象都有屬于自己獨特的評估項目,這是每個評估對象獨特的屬性所決定的。下面是六個主要的安全風險評估對象的主要評估項目的簡短描述:
 。1)、信息安全風險評估的主要評估項目
 、、信息的安全狀況評估
 、、信息的完整性審查
 、邸C密信息調查
 、、網(wǎng)絡操作痕跡信息檢查
 、、信息在使用過程中的安全性審查
 、蕖㈦[私信息機密性審查
 、摺⑿畔⒖煽匦詫彶
 、、信息存儲安全性審查
  (2)、業(yè)務流程安全風險評估的主要評估項目
 、、業(yè)務流程安全現(xiàn)狀評估
 、、業(yè)務請求安全性審查
  ③、業(yè)務反請求安全性審查
 、、業(yè)務處理流程安全性審查
  ⑤、業(yè)務處理人員可信賴性測試
  (3)、網(wǎng)絡安全風險評估的主要評估項目
 、佟⒕W(wǎng)絡安全現(xiàn)狀評估
 、、入侵檢測審查
  ③、網(wǎng)絡傳輸安全性評估
 、堋⒕W(wǎng)絡應用安全性評估
 、荨⒕W(wǎng)絡弱點及漏洞檢測與驗證
 、、網(wǎng)絡中交換機及路由器安全性評估
 、摺⒃L問控制測試
 、、主要網(wǎng)絡攻擊方式測試(如DOS)
 、、網(wǎng)絡行為審查
  ⑩、網(wǎng)絡安全策略、警報和日志文件審查
 。4)、通信安全風險評估的主要評估項目
 、佟odem等通信設備安全性檢測
 、凇OIP安全性評估
 、、網(wǎng)絡傳真安全性評估
 、、遠程訪問安全性評估
  ⑤、即時通信安全性評估(包括即時聊天、網(wǎng)絡視頻會議、網(wǎng)絡遠程監(jiān)控等)
 。5)、無線安全風險評估的主要評估項目
 、、電磁輻射測試
 、、802.11a/b/g無線網(wǎng)絡安全風險評估
  ③、藍牙安全性評估
 、堋o線輸入輸出設備安全性測試
 、、無線手持設備安全性測試
  ⑥、無線設備接入或退出安全性測試
 、、無線傳輸設備安全性測試
 、、無線通信保密性測試
 、帷⑵渌鼰o線通信方式檢測(如RFID及紅外線連接等)
 。6)、物理安全風險評估的主要評估項目
 、、物理安全現(xiàn)狀評估
 、、物理安全訪問控制的安全性測試
 、、物理監(jiān)控設備運行審查
 、、警報響應審查
 、、物理安全防范位置審查
 、蕖⒂嬎銠C系統(tǒng)所處位置周邊物理安全審查
 、、計算機系統(tǒng)所處位置當?shù)刈匀粭l件、環(huán)境因素調查|||
  評估任務
  評估任務就是指要達到某個風險評估項目的評估目標時,要具體進行的所有評估操作任務。評估任務與每個評估項目相對應,具體的評估任務可以由你和你的團隊根據(jù)實際需求來決定。評估任務制定得全不全面,切不切合實際,會直接影響到信息系統(tǒng)安全風險評估的最終結果是否與風險評估的目標相一致。因此,當決定這些評估任務時,參與決定的人員不僅要有豐富的經(jīng)驗,而且手里要有充足的與評估對象相關的各種有效的資料;同時,要對目前的安全威脅,各種系統(tǒng)或設備的弱點和漏洞,各種攻擊手段有充分的了解;而且,還要能仔細識別評估對象的資產類型及其重要性等。
  由于評估任務是與具體的評估對象和評估項目來決定的,還與當前的安全威脅狀況及發(fā)展趨勢有關,同時由于文章篇幅的限制。因此,在中只能分別對這六個評估對象中的一到二個評估項目給出一些通用的評估任務。至于其它評估項目的評估任務,你和你的評估團隊可以參考中給出的評估任務內容實例,使用頭腦風暴的方法,通過分析收集到的各種有效資料來自行決定。
 。1)、信息安全風險評估中隱私信息機密性審查的評估任務
  隱私信息的機密性審查,主要是為了檢測機構中員工及客戶的隱私信息在使用、傳輸和存儲過程中的完全性。由于這些隱私可能涉及到機構所在位置的某些法律條規(guī),因此,在決定這個項目的評估任務時,要充分考慮機構所在區(qū)域的國家及地區(qū)法規(guī)。
  通常,要進行一次全面的隱私機密性審查,應當完成下列所示的評估任務:
 、、比對實際的隱私信息訪問方式與隱私訪問策略中規(guī)定的方式之間的差異;
 、、檢查隱私信息的監(jiān)控保護方式符合當?shù)氐姆煞ㄒ?guī);
 、、標識出存儲的隱私信息的數(shù)據(jù)庫類型和大;
 、堋俗R由機構收集到的各種隱私信息;
 、、確定隱私信息存儲的位置;
 、、了解當前網(wǎng)絡瀏覽時COOKIE保存類型和保留的時間;
 、摺⒆R別保存在COOKIE中的各種隱私信息;
 、、驗證COOKIE使用的加密方法;
 、帷⒆R別機構的WEB服務器可能產生錯誤的位置,了解錯誤發(fā)生時返回給瀏覽用戶的信息類型。
 。2)、信息安全風險評估中網(wǎng)絡操作痕跡信息檢查的評估任務
  網(wǎng)絡操作痕跡信息的檢查,主要是為了調查機構內部某些員工在網(wǎng)絡操作后留下的操作痕跡,用審查是否有一些與組織相關的機密信息遺留在互聯(lián)網(wǎng)當中。這個評估項目是信息安全風險評估中非常重要的一個部分,要完成一次全面的互聯(lián)網(wǎng)操作行為信息檢查,下面這些評估任務是不能少的:
 、、檢查機構內部員工WEB數(shù)據(jù)庫和緩存中的內容;
 、、檢查機構內部員工是否通過個人主頁、博客、,以及發(fā)布網(wǎng)絡求職簡歷的方式,透露了機構的組織結構,或其它機構內部機密信息;
 、、調查機構內部員工是否在使用私人電子郵箱,并且在法律允許的條件下,檢查員工是否通過機構分配的電子郵件發(fā)送機構內部機密信息;
  ④、了解機構內部員工的計算機技術水平,以及了解計算機技術水平較高的員工所處的部門及其操作權限;
 、、調查機構內部員工是否在工作時間使用即時通信工具,并在法律條件允許的條件下監(jiān)控即時通信的內容;
 、、使用互聯(lián)網(wǎng)搜索引擎查找網(wǎng)絡中是否存在與機構相關的機密信息,或者可以在各種特定的新聞組、及博客中搜索;
 、、檢查機構內部員工是否在使用P2P軟件,在法律條件允許下審查P2P通信內容。
  (3)、網(wǎng)絡安全風險評估中網(wǎng)絡弱點及漏洞檢測與驗證的評估任務
  網(wǎng)絡弱點及漏洞檢測與驗證是為了找出網(wǎng)絡中存的安全弱點和漏洞,并且驗證這些弱點和漏洞是否可以真的被利用。在評估過程中使用一些基于網(wǎng)絡的弱點掃描及滲透測試工具,能大大提高評估工作的效率。
  但是,在使用弱點掃描工具時不能對它檢測后的結果全盤接受,這是由于現(xiàn)在大部分的弱點掃描工具都是通過與自己的弱點和漏洞數(shù)據(jù)進行比對,來決定檢測對象是否存某弱點或漏洞的。一旦工具的漏洞數(shù)據(jù)庫不能及時更新,或不能包括所有目前已經(jīng)發(fā)現(xiàn)的漏洞,那么,其檢測結果就不一定完全可靠。并且,由于這些工具本身設計缺陷和能力限制,在使用過程中會出現(xiàn)誤報和漏報的問題,誤報會讓我們白擔心一場,而漏報卻會讓我們處于重大安全事故發(fā)生的邊緣。因此,在弱點掃描后進行人工核查和滲透測試能減少漏報和誤報的發(fā)生。
  要完成一次徹底的網(wǎng)絡弱點及漏洞檢測與驗證的評估項目,下面完成下面的評估任務:
 、、結合目前最流行的弱點掃描和滲透工具,對目標網(wǎng)段進行測試;
  ②、使用弱點掃描工具,按由外向內,由內向外的兩種方式掃描目標網(wǎng)段;
  ③、確定存在弱點或漏洞的系統(tǒng)和應用程序的類型;
  ④、確定存在漏洞的服務;
 、荨⒋_定應用程序和服務存在漏洞的類型;
  ⑥、識別操作系統(tǒng)和應用程序中的存在的所有漏洞,識別所有存在漏洞的操作系統(tǒng)和應用程序;
 、摺⒋_定這些漏洞是否可以影響到其它相似的目標網(wǎng)絡或系統(tǒng);
 、、通過人為滲透測試的方法來檢測找到的弱點或漏洞是否真實存在;
 、帷z驗這些漏洞可以被利用的機率,利用后可能產生的后果。
 。4)、通信安全風險評估中Modem等通信設備安全性檢測的評估任務
  Modem等通信設備的安全性檢測主要是為了檢驗調制解調器的登錄驗證方式,是否可以被運程非法控制等等。要完成一次全面的Modem等通信設備的安全性檢測項目,下面的評估任務將要被全部執(zhí)行:
 、、以由內向外,由處向內的方式全面掃描Modem等通信設備;
 、、確保Modem等通信設備的登錄用戶和密碼不是使用缺省設置,或者容易被猜出;
 、、確保與Modem等通信設備直接相連的路由器、三層交換機或計算機已經(jīng)做好了相應的安全措施;
 、、檢查通過遠程維護Modem等通信設備是否安全;
 、、驗證遠程撥號認證;
 、蕖y試本地撥號認證;
 。5)、無線安全風險評估中802.11a/b/g無線網(wǎng)絡安全風險評估的評估任務
  由于802.11a/b/g無線網(wǎng)絡技術越來越成熟,越來越多的機構開始使用它。但是,由于802.11a/b/g無線網(wǎng)絡技術的開放性,且大多數(shù)使用沒有對其默認設置做相應的安全修改,或者設置的安全很少也很弱,從而造成802.11a/b/g無線網(wǎng)絡帶來的安全風險與它的功能一樣多。因此,使用802.11a/b/g無線網(wǎng)絡安全風險評估來識別無線網(wǎng)絡中目前存在的安全風險,以便能采取更好的安全措施來降低無線網(wǎng)絡應用帶來的風險。
  完成802.11a/b/g無線網(wǎng)絡安全風險評估項目,必需執(zhí)行下列所有的評估任務:
 、佟z驗機構是否已經(jīng)有一個足夠好的無線安全策略,來保證802.11a/b/g無線網(wǎng)絡的應用,同時評估802.11a/b/g無線網(wǎng)絡的硬件和固件,以及更新狀況等;
 、、對連接在目標無線網(wǎng)終上的無線設備進行全面的清查,評估訪問控制,無線信號覆蓋的規(guī)定范圍,并確定是否有能力防止無線信號超出規(guī)定的范圍,或者能夠干擾超出的無線信號;
 、、確定無線設備水平接入目標無線網(wǎng)絡的訪問控制能力,是否能夠標識所有允許的接入點,以及是否能夠即時識別非授權接入點,并能定位和拒絕它的接入;
  ④、評估無線網(wǎng)絡的配置、認證和加密方式;
  ⑤、評估無線接入點的默認服務設備標識符(SSID)已經(jīng)更改;
 、、驗證所有無線客戶端已經(jīng)安裝了殺毒軟件和防火墻等安全工具;
 。6)、物理安全風險評估中物理安全訪問控制的安全性測試的評估任務
  物理安全訪問控制的安全性測試,是用來檢測物理方式直接接觸機構中重要信息資產時是否符合安全要求的評估項目。要完成一次物理安全訪問控制的安全性測試,就必需完成下列所示的評估任務:
 、、枚舉所有必需進行物理訪問控制的區(qū)域;
 、、檢查所有物理訪問控制點的訪問控制設備及其類型;
 、、檢查觸發(fā)警報的類型是否與說明的一致;
  ④、判斷物理訪問控制設備的安全級別;
 、、測試物理訪問控制設備是否存在弱點和漏洞;
 、、測試物理訪問控制設備是否可以被人為或其它方式失去檢測能力;
  四、信息系統(tǒng)安全風險評估過程中應當遵守的規(guī)則
  在對信息系統(tǒng)進行風險評估過程中,下列的一些因素會給評估帶來錯誤的結果:
  1、弱點掃描軟件的誤報和漏報;
  2、系統(tǒng)本身設置對某類事情做出固定的某種缺陷反應。當測試帶有欺騙性設置的系統(tǒng)時,常會對所有的評估事件做出某種指定的相同反應;
  3、要評估的系統(tǒng)中存在某種已經(jīng)指定對所有事件做出安全反應的設置。
  4、在風險評估過程中收到了某個目標的回應,但這個回應并不是真的來自實際的評估目標,而一些沒有經(jīng)驗的風險評估人員,對出現(xiàn)這樣的假象不能正確識別,從而造成錯誤的結果;
  5、風險評估工具設備本身存在問題,就可能出現(xiàn)錯誤的回應。以及當風險評估的以太網(wǎng)路出現(xiàn)高噪音,或者存在干擾目標無線網(wǎng)絡信號的設備時,都會出現(xiàn)錯誤的結果;
  6、當風險評估過程中的某個環(huán)境得到了錯誤的結果,但是沒有及時識別和重新評估,而其后的評估工作卻使用這個錯誤的結果作為評估條件,這樣一來,就會讓這種錯誤繼承下去,造成得到一個錯誤的最終風險評估結果;
  7、風險評估必需由人來執(zhí)行,由于風險評估人員的技術水平,經(jīng)驗值的高低,以及他們的評估態(tài)度,對風險評估的理解的各不相同等因素,都有可能造成錯誤的風險評估結果。
  由于上述原因得到的錯誤信息系統(tǒng)安全風險評估結果,一旦被接受,那么就會給信息系統(tǒng)的安全防范帶來新的安全風險,其后果是不可想象的。因此,我們必需在進行信息系統(tǒng)的風險評估過程中,遵守下面的風險評估規(guī)則,就可以有效降低上述錯誤因素的產生:
  1、明白進行風險評估時,任何細節(jié)都是一樣重要的,并且了解每個評估項目的評估目的;
  2、注意風險評估過程中的每一個小細節(jié)。風險評估結果的有效性,往往體現(xiàn)在一些細節(jié)上面,這是因為一些重大的安全事故都是由于一些細小的安全弱點所引起的。另外,一個單獨的小細節(jié)可能不會帶來某類安全風險,但是,許多小細節(jié)累積后,一不小心,就會給信息系統(tǒng)帶來重大的信息安全事故;
  3、不要認為少花錢多辦事就是好。現(xiàn)在,許多機構對于安全預算本來就少,因此,就要求安全風險評估必需在很少的時間內得到更多的效率。但是,如果你認為一個低效率的風險評估策略會為你節(jié)省一大筆的成本而決定使用它,那么,這個低效率的風險評估策略有可能不會將所有的安全風險檢測出來。因而使用你在藥費了時間和金錢進行風險評估的同時,你不能得到風險評估的任何好處,從側面反而使你增加了安全成本和造成業(yè)務中斷事件的可能性。
  很顯然,風險評估是需要一定的成本投入的,因此,當你在開始進行風險評估時,你就要考慮如何平衡評估效率和投入成本的問題,只有這兩方達到一個滿意的平衡,才能達最好的風險評估效率和效果;
  4、對于涉及多個風險評估對象的風險評估過程,要有一個切合實際,考慮全面,可以被完全執(zhí)行的風險評估策略。任何時候,我們都不要忽略策略在安全防范工作中的重要性。風險評估策略就是用來表明某次風險評估時的主要目的,以及要具體完成的任務,和一些操作細節(jié)等等。風險評估策略在風險評估過程中起到指導性的作用,控制整個評估過程;
  5、要知道如何算風險評估的經(jīng)濟賬。風險評估的目的通常是為了達到某種程序的安全性來進行的,評估的結果將會給找到的弱點提出相應的解決方案。這樣,就會涉及到增加安全成本投入的問題。一個好的風險評估項目管理者,會了解機構是否有足夠的經(jīng)濟能力來解決發(fā)現(xiàn)的漏洞,計算到底要多少成本才能達到機構領導可以接受的安全風險等級,怎么樣的預算才會被機構決策者所接受等等。如果你不考慮這些問題,那么,不管理你的風險評估結果是多么的全面且準確,但是不被機構決策者接受,那么仍然是一個不成功的風險評估。這只會白白讓機構浪費了大量的風險評估時間和金錢。因此,知道算風險評估的經(jīng)濟帳也是一個重要的方面;
  6、了解風險評估的參考標準。風險評估結果是否具有權威性的關鍵一點,就是你應當在評估結果中注明評估的方式是遵從哪種風險評估的標準來進行,例如我在上面提到過的我國的《信息安全風險評估指南》。你還可以使用一些國際標準,如ISO/IEC 17799/27001國際信息安全管理體系中的風險評估標準,這些標準可以給你提供一個如何給出最終安全和風險級別的參考標準;
  7、風險評估人員必需在指定的權限范圍內完成指定的評估任務,在評估過程中不能隨意走出規(guī)定的物理范圍。在評估時發(fā)現(xiàn)任務疑問,應當立即停止,并上報給評估小組負責人。在疑問沒能明確解決之前,不能獨自繼續(xù)進行下一步的評估操作。評估人員的出評估現(xiàn)場都應當有記錄,標明進出的具體時間。每個評估人員都應在身體明顯處掛戴表明共身份的工作證件。每個風險評估人員都應當使用規(guī)定的評估工具,不能將規(guī)定外的工具帶入評估現(xiàn)場。明確每個風險評估人員的權限范圍,和其所在的物理位置,任何評估人員都不能超出這些規(guī)定的權力或物理范圍。
  在對上述信息系統(tǒng)安全風險評估的基礎知識有一個系統(tǒng)的了解后,就會讓我們懂得要如何才能有效地完成一次安全風險評估。接下來的任務,就是去掌握信息系統(tǒng)的安全風險評估工作要如何具體地去做。
1 2  下一頁
文章責編:liujun1987  
看了本文的網(wǎng)友還看了
文章搜索
軟件水平考試欄目導航
版權聲明:如果軟件水平考試網(wǎng)所轉載內容不慎侵犯了您的權益,請與我們聯(lián)系800@exam8.com,我們將會及時處理。如轉載本軟件水平考試網(wǎng)內容,請注明出處。