|
(2)建立风险量化标准。建立风险量化标准是确立来自组织内部对于项目和信息系统的安全需求,这种需求将成为评估风险给组织的任务和商业目标带来的影响的驱动因素。这些驱动因素体会体现在一系列风险量化标准里而作为评估规划的重要成果。training.mypm.net
风险量化标准是一系列定量的量化方法。它参考了那些对已经发生了的风险的影响进行评价的结果,继而成为整个风险评估的基础。使用一致的量化标准能确保在多个信息资产和操作部门之间同样一致地执行制订的风险应对计划。项目管理论坛
除了评估在某特定区域内的影响程度,组织还必须识别出哪些区域对于它的任务和商业目标最为重要。譬如,一些组织会更重视有可能给他们与客户的关系带来影响的风险,而相比之下对影响相关法规符合性的风险就不如前者重要。项目管理者联盟
所以对有可能被风险影响的区域设定优先级也是在评估规划里必须执行的。当项目风险管理中的风险管理规划完成后,产生了项目的风险管理计划。接着就可以启动风险评估过程。评估过程即通过一个正式的流程来确定项目中组织面临的风险并确定其优先级。pmp.mypm.net
并且将评估风险阶段细分为以下三个步骤:bbs.mypm.net
(l)评估规划:为成功的风险评估建立基础。项目管理者联盟
(2)数据收集和处理:通过研讨会讨论收集到的风项目管理培训
3.2数据收集和处理club.mypm.net
(l)建立信息资产配置文件。评估过程关注的是组织的信息资产,所以在这一步开始建立资产配置文件。一个配置文件代表了一个信息资产,它描述了资产区别于其他资产的特征、品质、特性和对它的赋值。blog.mypm.net
这个创建配置文件的过程确保了每一个资产都有清晰而且一致的描述来明确它的边界,并且充分定义了有关安全的需求。每一个资产的配置文件生成一张表单,它将成为后续步骤中定义威胁和风险的基础。项目经理博客
(2)识别信息资产容器。信息资产被存储、传输和处理的地点称之为容器。信息资产不仅会存在于组织边界范围内,它也时常存在于不受组织直接控制的容器内。任何对于容器的风险会被存在于其中的信息资产继承下来。项目管理者联盟
譬如,许多组织向服务提供商外包它们部分的IT基础设施,服务提供商管理和维护着含有这个组织信息资产的容器。如果服务提供商不了解它们管理的容器内所存储、传输和处理的信息资产来自组织的安全需求,那些用来保护信息资产的控制手段则有可能会不足,导致将资产暴露在风险面前。项目管理者联盟
这个问题在有些情况下会变得更显著,譬如服务提供商在不通知资产所有者的情况下将服务(如数据存储业务)签署给另外的服务商。因此,为了获取完整的信息资产风险配置文件,组织必须识别出所有信息资产被存储、传输和处理的地点即信息资产容器,blog.mypm.net
而不论这些容器是在组织的直接控制或间接控制之下。识别出所有内部的和外部的信息资产容器,然后将信息资产关联到它所在的容器中并列表输出。项目管理者联盟
(3)识别关注区域。开始通过头脑风暴来识别风险,头脑风暴的目的是找出任何可能威胁组织信息资产的条件或情况。这些被识别出来的现实世界中的场景就被视做是关注区域,它们可以代表威胁以及相对应的不良后果。项目管理者联盟
针对关注区域的讨论可以帮助人们找出那些只对某一组织来说是威胁的风险。必须注意的是,识别关注区域的目的不是去完成一个完整的对信息资产可能的威胁场景列表,而是快速地记录那些在头脑风暴中最先跳出的可能威胁组织信息资产的条件和情况。www.mypm.net
(4)识别威胁场景。识别出来的关注区域在这里被展开。展开的关注区域包含每一个威胁的具体内容,称之为威胁场景。但是这些从关注区域发展而来的威胁的集合还不足以为一个组织的信息资产所可能面临的威胁提供一个周全的考虑。因此必须通过进一步分析威胁场景来考虑更广范围的附加风险。项目管理者联盟
主要的信息安全威胁有8种。项目管理者联盟
①窃取:非法用户通过数据窃听的手段获得敏感信息;项目管理者联盟
②截取:非法用户首先获得信息,再将此信息发送给真正的接收者;项目管理者联盟
③伪黔顶具薰理燕难造:将伪造的信息发送给接收者;pmp.mypm.net
④篡改:非法用户对合法用户之间的通讯信息进行修改,再发送给接收者;blog.mypm.net
⑤拒绝服务攻击:攻击服务系统,造成系统瘫痪,阻止合法用户获得服务;www.mypm.net
⑥行为否认:合法用户否认已经发生的行为;项目管理者联盟
⑦非授权访问:未经系统授权而使用网络或计算机资源;项目管理者联盟文章
|
