如何进行安全风险评估

风险评估准备是整个风险评估过程有效性的保证。组织实施风险评估是一种战略性的考虑，其结果将受到组织的业务战略、业务流程、安全需求、系统规模和结构等方面的影响。因此，在风险评估前，应该做好如下准备。

（一）风险评估准备。

1、确定风险评估的目标；2、确定风险评估的范围；3、组建适当的评估管理与实施团队；4、进行系统调研；5、确定评估依据和方案；6、制定风险评估方案；7、获得最高管理者对风险评估工作的支持。

（二）资产识别。

机密性、完整性和可用性是评价资产的3个安全属性。风险评估中资产的价值不是以资产的经济价值来衡量，而是由资产在这3个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。安全属性达成程度的不同将使资产具有不同价值，而资产面临的威胁、存在的脆弱性以及采用的安全措施都将对资产的安全属性的达成程度产生影响。为此，应对组织中的资产尽行识别。

在一个组织中，资产有多种表现形式；同样的2个资产也因为属于不同的信息系统而有不同重要性，而且对于提供多种业务的组织，其支持业务持续运行的系统数量可能更多。因此，首先需要将信息系统及相关资产进行恰当的分类，以此为基础进行下一步的风险评估。在实际工作中，具体资产分类方法可以根据具体的评估对象和要求，由评估者灵活把握。根据资产的表现形式，可将资产分为数据、软件、硬件、服务、人员等类型。

资产价值应依据资产在机密性、完整性、可用性上赋值等级，经过综合评定得出。综合评定方法可以根据自身的特点，选择对资产的机密性、完整性、可用性最为重要的一个属性的赋值等级作为资产的最终赋值结果；也可以根据资产机密性、完整性和可用性的不同等级对其赋值进行加权计算得到资产的最终赋值结果。加权方法可以根据组织的业务特点确定。

（三）威胁识别。

脆弱性是资产本身存在的，如果没有被相应的威胁利用，单纯的脆弱性本身不会对资产造成损害。而且如果系统足够强健，严重的威胁也不会导致安全事件的发生，并造成损失。即威胁总是要利用资产的脆弱性才可能造成危害