信息安全風(fēng)險(xiǎn)評估恰恰很好的解決了以上的問題，組織通過制定科學(xué)的風(fēng)險(xiǎn)評估方法、程序，對于那些為達(dá)成組織戰(zhàn)略目標(biāo)起到關(guān)鍵作用的信息和信息資產(chǎn)進(jìn)行評估，最終得出這些關(guān)鍵信息及信息資產(chǎn)所面臨的風(fēng)險(xiǎn)，然后針對不同風(fēng)險(xiǎn)制定相應(yīng)的處理計(jì)劃，提出所需要的資源，從而使風(fēng)險(xiǎn)評估輔助安全預(yù)算的制定。

三、 風(fēng)險(xiǎn)評估過程

目前國際和國內(nèi)都有一些比較成熟的風(fēng)險(xiǎn)評估標(biāo)準(zhǔn)及指南，如BS 7799,ISO 13335,OCTAVE方法，NIST SP800-30等。對于風(fēng)險(xiǎn)評估過程的描述不盡相同，通常包括下述幾個過程：

1、 確定評估的范圍、目的、評估組、評估方法等；
2、 識別評估范圍內(nèi)的信息資產(chǎn)；
3、 識別對于這些資產(chǎn)的威脅；
4、 識別可能利用這些威脅的薄弱點(diǎn)；
5、 識別信息資產(chǎn)的損失給組織帶來的影響；
6、 識別威脅時(shí)間發(fā)生的可能性；
7、 根據(jù)"影響"及"可能性"計(jì)算風(fēng)險(xiǎn)；
8、 確定風(fēng)險(xiǎn)等級及可接受風(fēng)險(xiǎn)的等級；

我們假設(shè)評估的目的之一是為了制定科學(xué)的安全預(yù)算，那么在整個風(fēng)險(xiǎn)評估的過程中，組織就應(yīng)該考慮風(fēng)險(xiǎn)評估過程應(yīng)該輸出那些必要的信息，信息的表示方式如何等問題。例如，風(fēng)險(xiǎn)評估的方法，如果采用簡單的評估方法，其輸出的結(jié)果往往不夠細(xì)致，進(jìn)而不能很好的輔助制定預(yù)算的決策過程。從整個評估的過程看，組織應(yīng)該考慮以下幾方面的問題：

1、風(fēng)險(xiǎn)評估過程中的各類角色

風(fēng)險(xiǎn)評估過程中，通常需要來自業(yè)務(wù)部門和技術(shù)部門及管理層的人員共同組成風(fēng)險(xiǎn)評估小組。考慮到風(fēng)險(xiǎn)評估的結(jié)果需要為制定安全預(yù)算提供信息輸入，那么在整個風(fēng)險(xiǎn)評估的過程中，都應(yīng)該考慮到組織內(nèi)部對制定預(yù)算起到關(guān)鍵作用的管理層人員的加入。一方面能夠使其全面了解到評估過程；一方面可以很好的將評估的結(jié)果及預(yù)算的結(jié)果與管理層進(jìn)行溝通。

2、風(fēng)險(xiǎn)評估方法及所涉及的判定準(zhǔn)則

風(fēng)險(xiǎn)評估通常采用定性和定量的分析方法。組織需要更多地考慮如何量化一些關(guān)鍵指標(biāo)，作為風(fēng)險(xiǎn)評估過程中各個因素評價(jià)的判定準(zhǔn)則。

這樣的準(zhǔn)則更有利于關(guān)注風(fēng)險(xiǎn)與控制成本之間的關(guān)系，也更利于各部門橫向溝通，及與管理層的縱向溝通。

3、系統(tǒng)的考慮導(dǎo)致風(fēng)險(xiǎn)的威脅及薄弱點(diǎn)

組織在進(jìn)行風(fēng)險(xiǎn)評估時(shí)，應(yīng)該系統(tǒng)的考慮來自各個方面的威脅。目前，仍然有很多組織對于風(fēng)險(xiǎn)評估的理解還停留在"技術(shù)關(guān)注"的層面，這樣的風(fēng)險(xiǎn)評估顯然是不夠的。國際標(biāo)準(zhǔn)ISO/IEC 17799《信息技術(shù)–信息安全管理實(shí)施細(xì)則》，給出了信息安全的十大管控內(nèi)容，127項(xiàng)控制點(diǎn)。組織可以參照此標(biāo)準(zhǔn)所提及的各類控制點(diǎn)，對比其信息及信息資產(chǎn)是否存在相應(yīng)的薄弱點(diǎn)。這樣的評估結(jié)果才能全面反映組織所面臨的各類風(fēng)險(xiǎn)，使所選擇的控制更加系統(tǒng)全面。

4、選擇適當(dāng)?shù)目刂拼胧?/p>

針對風(fēng)險(xiǎn)評估所產(chǎn)生的不可接受風(fēng)險(xiǎn)，組織應(yīng)該采取一定的控制措施，對風(fēng)險(xiǎn)進(jìn)行處理。風(fēng)險(xiǎn)的處理方式通常包括：降低風(fēng)險(xiǎn)、轉(zhuǎn)移風(fēng)險(xiǎn)、避免風(fēng)險(xiǎn)、接受風(fēng)險(xiǎn)。同一風(fēng)險(xiǎn)的處理方式可能不同，同樣的處理方式所采取的控制措施也可能不同。組織應(yīng)該考慮來自管理和技術(shù)兩方面的控制措施。而這樣的控制措施并非一定要將風(fēng)險(xiǎn)完全規(guī)避，而是要降低到一個組織可以接受的水平。另外控制措施的選擇也要考慮到成本的問題。

四、 風(fēng)險(xiǎn)評估在系統(tǒng)生命周期不同階段的應(yīng)用

風(fēng)險(xiǎn)評估不僅僅可以在每個財(cái)政年度為組織的安全預(yù)算提供輔助的支持，并且在信息化的過程中，信息系統(tǒng)建設(shè)生命周期的不同階段都可以對項(xiàng)目的安全預(yù)算提供支持。在不同的階段，風(fēng)險(xiǎn)評估所表現(xiàn)出的價(jià)值是不同的，組織可以跟據(jù)不同階段的關(guān)注點(diǎn)（見表2），更多的考慮安全預(yù)算的投入方向，解決系統(tǒng)生命周期不同階段，對于安全的不同要求。

生命周期階段 階段特征 來自風(fēng)險(xiǎn)評估活動的支持

階段1–規(guī)劃和啟動 提出信息系統(tǒng)的目的、需求、規(guī)模和安全要求。 風(fēng)險(xiǎn)評估活動可用于確定信息系統(tǒng)安全需求。

階段2–設(shè)計(jì)開發(fā)或采購 信息系統(tǒng)設(shè)計(jì)、購買、開發(fā)或建造。 在本階段標(biāo)識的風(fēng)險(xiǎn)可以用來為信息系統(tǒng)的安全分析提供支持，這可能會影響到系統(tǒng)在開發(fā)過程中要對體系結(jié)構(gòu)和設(shè)計(jì)方案進(jìn)行權(quán)衡。

階段3–集成實(shí)現(xiàn) 信息系統(tǒng)的安全特性應(yīng)該被配置、激活、測試并得到驗(yàn)證。 風(fēng)險(xiǎn)評估可支持對系統(tǒng)實(shí)現(xiàn)效果的評價(jià)，考察其是否能滿足要求，并考察系統(tǒng)所運(yùn)行的環(huán)境是否是預(yù)期設(shè)計(jì)的。有關(guān)風(fēng)險(xiǎn)的一系列決策必須在系統(tǒng)運(yùn)行之前做出。

階段4–運(yùn)行和維護(hù) 信息系統(tǒng)開始執(zhí)行其功能，一般情況下系統(tǒng)要不斷修改，添加硬件和軟件，或改變機(jī)構(gòu)的運(yùn)行規(guī)則、策略或流程等。 當(dāng)定期對系統(tǒng)進(jìn)行重新評估時(shí)，或者信息系統(tǒng)在其運(yùn)行性生產(chǎn)環(huán)境（例如新的系統(tǒng)接口）中做出重大變更時(shí)，要對其進(jìn)行風(fēng)險(xiǎn)評估活動，保證信息安全。

階段5–廢棄 本階段涉及到對信息、硬件和軟件的廢棄。這些活動可能包括信息的轉(zhuǎn)移、備份、丟棄、銷毀以及對軟硬件進(jìn)行的密級處理。 當(dāng)要廢棄或替換系統(tǒng)組件時(shí)，要對其進(jìn)行風(fēng)險(xiǎn)評估，以確保硬件和軟件得到了適當(dāng)?shù)膹U棄處置，且殘留信息也恰當(dāng)?shù)剡M(jìn)行了處理。并且要確保系統(tǒng)的更新?lián)Q代能以一個安全和系統(tǒng)化的方式完成。

組織不需要部署所有的安全產(chǎn)品，也沒有必要追求風(fēng)險(xiǎn)最小化。沒有任何一套安全方案可以完全保證信息的安全，通過風(fēng)險(xiǎn)評估，了解安全要求，認(rèn)知安全風(fēng)險(xiǎn)，采取安全控制，才能有效地保證安全預(yù)算與風(fēng)險(xiǎn)的平衡，系統(tǒng)地保證組織的信息安全，使信息化建設(shè)的投入為組織戰(zhàn)略目標(biāo)的達(dá)成做出貢獻(xiàn)。

多易