信息安全之专家谈风险评估过程中的风险

  作者:李达
2009/4/20 11:55:12
做信息安全的人都知道风险评估,而我在这里不谈那些技术评估、应用评估、流程评估等评估过程中的问题,只谈我们作为乙方在做咨询项目中通常都要做到的信息资产的风险评估,而这个风险评估过程中的“风险”也是指的在评估过程中遇到的实施风险。

本文关键字: 信息安全 风险评估 风险

刚开始看到这个题目可能可能很多人都会产生不解,究竟这个风险评估过程中的“风险”指的是什么呢?是评估出来的风险结果还是评估过程中遇到的实施风险呢?所以首先我要解释一下下面到要谈的究竟是什么内容。

做信息安全的人都知道风险评估,而我在这里不谈那些技术评估、应用评估、流程评估等评估过程中的问题,只谈我们作为乙方在做咨询项目中通常都要做到的信息资产的风险评估,而这个风险评估过程中的“风险”也是指的在评估过程中遇到的实施风险。在下面的文章中我不谈如何做信息资产风险评估的方法,也不谈什么方法好,什么方法不好,因为风险评估工作各家有各家的做法,各人有个人的理解,不同的项目、不同的客户也存在不同的情况,所以针对具体情况选择合适的风险评估方法,化解在评估过程中可能遇到的问题和风险才是我这次要谈的内容。

1.风险评估的第一的误区

同一套方法,这在很多人看来是没什么奇怪的,我们在项目中做风险评估最关注的几个问题是,一方面,要尽量有效全面的评估出风险,并根据风险制定有效的控制,这是从评估的实用性和为客户带来效果的角度(即项目质量)来说的;另一方面我们还要保证项目的进度,常做评估的人都知道风险评估在资产识别阶段不能做的太细,避免做成CMDB,就是为了控制项目的进度。

每家公司或每个人可能都会有一套做信息资产风险评估的最佳放法论,这套方法论通常是多年实践积累、改进而来或从哪里直接借鉴过来的,而通常去给客户做风险的评估的时候也都是拿着这套所谓的最佳实践去做的(尤其是新手居多)。但这就忽略了一个问题,每个客户的实际情况是不同的,项目范围也是不同的,其信息资产的分布和管理方式、以及客户实际的配合力度以及客户是否需要通过认证的情况都是不一样的。在实际实施过程中可能会遇到,客户原本的资产管理就很混乱,缺少集中或统一了解和管理资产的人,人员对资产的熟悉情况太分散,评估的结果是否要与等保和安全域结合,客户是否有充分的人员和时间配合你工作等等情况。

因此如果不能够很好的根据客户选择评估的方法有时是会影响项目实施的。所以我们需要根据客户的具体情况适当调整我们评估的方法和实施方式,比如,我们是选择按部门划分评估,还是按资产分类评估,还是按系统分组来评估,资产分类的粒度要到什么程度。也就是说我们可能同时要掌握不只一套风险评估的操作方法,或者说同样的方法不能一成不变的应用到每个项目。当然如果大家不接受我的这个观点恐怕看接下来的内容也意义不大了。

2.前期沟通的重要性

这个问题关系到项目售前和项目经理之间的交流,以及最初项目计划的制定工作阶段。

我们都知道做风险评估的首要工作就是要明确风险评估的范围,即不能做小了(不全面,反应不了整体情况),也不能做大了(做了不该做的,影响实施进度)。因此在项目洽谈的初期涉及到制定项目计划的时候就要考虑到这个问题了。首先应当与客户沟通清楚究竟哪些人员、部门或哪些公司要做评估,同时要更详细的了解或预估出在这个范围内可能个会涉及到多少的信息资产,大约需要多大的工作量和多少工时,然后再制定实施计划。千万不能只是初略的约定了哪个哪个部门或哪个哪个公司,就根据自己以往的经验制定计划了,不同客户的人员数量和资产范围那都是不一样的,切戒范经验主义错误。如果等到人员进场之后再去和客户确定这个问题,这时候一旦实际情况超出预计,你的实施计划已经制定好了,再去修改改就比较麻烦了。

所以前期的沟通交流一定要做的细致,千万不能马虎,售前与项目经理之间也要做好沟通和交流,尽量不要一味的为了打单子而忽略的后期实施过程中的风险。当然这个问题不单针对风险评估,所有与项目实施相关的工作在前期都应做好工作量的预估。

3.注意与其他标准的结合

有的时候在某些项目中我们做完信息资产的风险评估之后可能还要做等级保护实施、信息安全规划或安全域划分等工作,这时候在选择或制定风险评估方法就要注意与这些工作的对应或关联。以结合等级保护或安全域为例,通常这种情况我们使用以资产类别进行划分资产,按照一类资产进行风险评估的方法就不是很适用,因问它不能很好的反映出系统层面的重要性。这时我们可以考虑使用按系统进行资产分组,对系统资产组进行风险评估的方法,这样的操作也能为我们后期进行等级保护或安全域的划分提供帮助。

但在采用这种按系统评估的方法时需要注意一些问题。1、系统资产组价值与等保系统级别之间的对应关系,比如我们资产价值打分从1-5或1-3,那么如何对应到等级保护的1-4级别,可能就需要做一些映射关系。2、由于按系统评估评估的方法中对资产的识别粒度相对较细,因此切忌不要陷入CMDB的风险中,只要把系统相关的每个资产需要参与评估的信息识别出来就可以了,千万不要搞的太细了,把什么IP地址或系统间访问关系都搞出来了。(当然不是说这些东西没有用,如果后期做安全域划分还是有用的)但一定牢记根据项目的要求调整评估的方法,否则将影响项目进度。

共2页: 上一页1 [2]
责编:田启佳
vsharing微信扫一扫实时了解行业动态
portalart微信扫一扫分享本文给好友

著作权声明:kaiyun体育官方人口 文章著作权分属kaiyun体育官方人口 、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
最新专题
网络安全热点透析

随着移动互联、大数据、云计算、物联网等技术的日益发展,在这些热点技术为个人生活带来便利的同时,也为企业发展..

数据安全医药行业解决方案

采用身份鉴别、访问控制、数据加密以及权限控制等多种安全防护技术手段,保障数据库中医药数据只能被合法用户合规..

    畅享
    首页
    返回
    顶部
    ×
      信息化规划
      IT总包
      供应商选型
      IT监理
      开发维护外包
      评估维权
    客服电话
    400-698-9918
    Baidu
    map