信息安全之专家谈风险评估过程中的风险

4.分值与精确度的设计

对于分值和精确度的选择我想有经验的顾问都有自己的看法，我这里的建议主要希望为刚接触风险评估的人提供一些帮助。

现在主流的风险评估方法都会不同程度的使用数字打分的方式，有1-3的，也有1-5的，不管怎么打分其目的都是为了区分出资产价值的重要程度，明确资产风险的重要性，所以只要你的方法论合理，1-3还是1-5都没有什么区别，我认为都可以，只是1-3分级较粗可能更适合资产少、规模较小的客户，而1-5分级较细，适合资产多、规模较大的客户。

当我们做完资产CIA打分和风险影响、概率打分之后通常都会使用公式计算出资产的价值或风险值，这里我要说明一点的就是对于这个计算出来的分值我们应当尽量保留1位小数(个人感觉保留2位用处不是很大)，由于资产数量众多时，保留整数的分值可能会出现许多同分的情况，为了便于我们后期的分析和整理工作，建议最好先保留1位小数这样重复的概率会降低很多，有利于我们对于资产和风险排序，也让结果变得更加精细。

5.客户规模与评估方法的选择

我们公司现在常用的风险评估方法主要有2种，一种是根据不同的部门，按资产分类进行识别，在资产类别层面进行风险评估；另一种是按系统或资产分组的方式划分，对资产组(或系统)进行分类识别，然后针对资产组(或系统)层面进行风险评估。这2种方法可以说是各有利弊。

通过在多个项目中分别使用这2种不同的评估方法，我个人感觉第一种方法操作起来相对简单，实施过程较快，而且客户易于掌握和理解，花费时间较短，但最后评估出来的结果实用性较差，需要进行更加细致的风险汇总、归纳和风险分析。第二种方法操作相对复杂，对顾问和客户工作量大要求较大，实施起来较慢，而且客户较难快速掌握，但能够为后期工作提供更好的支撑和输入，同时评估的结果可用性较强。

基于以上的区别在对待不同规模的客户时，根据项目的具体时间要求，我们就需要选择不同的方法，在项目计划时间相对紧张且客户资产数量庞大、系统数目众多的时候可以尽量选取第一种方法，相反则选择第二种方法。

6.认证与不认证客户的区别

这里我把是否通过ISO27001认证客户的拿出来做比较主要是因为需要通过认证的客户在做风险评估的时候需要考虑的问题更多，而且评估结果需要做的更仔细一些，当然不是说不过认证的我们就糊弄了，不过认证的同样要做好的，只是在认证审核的过程中对评估结果的要求有些内容在实际中用处不是很大，实施过程中可以尽量不花费太多精力在这些工作上面。

这里面的一个最常见区别的就是对于残余风险控制的处置识别工作，如果是不需要通过认证的客户那么这部分工作可以双方协商的情况下决定是客户日后自己做还是顾问指导客户来做，因为落实风险控制措施有时需要经过领导的审批、参与或者组织讨论，因此需要的时间可能会较多。但对于需要通过认证的客户那就一定要做完，因为这个在审核的时候时比较重要的审核内容之一，所以对于残余风险的控制措施制定，残余风险的分值预估甚至控制实施的有效程度等工作都需要在认证之前完成。

另一个问题就是客户的配合力度问题，我们通常的做法是在做风险评估前从每个部门找出一个人全程参与我们的评估工作，但有时客户方的协调力度不够或其他原因会导致没有各部门接口人，这种情况对于不过认证的客户来说还好办，例如，经过双方沟通可以由顾问待做，由客户确认，或客户部分参与来做。但如果是需要过认证的客户就一定要强烈建议客户安排指定的接口人参与到风险评估工作的整个过程中来，因为在接受审核的过程中，这些人员也可能会接受审核公司的询问，如果他们不清楚风险评估的具体工作流程和理论方法，是会影响到审核结果的。

最后

可能很多人在看完这篇文章之后会说“怎么写的乱糟糟的啊”，其实以上的内容都是我在项目实施过程中遇到的问题和想到的一些应对方法，都是有感而发，想到什么就写些什么，所以没有太考虑前后之间的逻辑问题，大家可以有选择的看看，如果能为大家在日后做风险评估的过程中提供一些帮助的话那就再好不过了。当然在实际的项目实施过程中可能遇到的问题也不只我上面提到的这些，例如，对于人员类、服务类、无形类资产的识别、赋值和评估等其他内容，在实施的时候也存在许多难点，尤其是新手也非常关心。但我这里只是把我现在的一些感受和想法写出来罢了，仅供大家参考。

【作者简介：李达，谷安天下公司顾问兼项目经理。在金融、证券、保险、电信和能源行业具有丰富的项目实施经验，擅长信息安全管理和信息安全技术方面的各项实施与咨询工作。对ISMS建设和各类风险评估工作有独特的见解。】

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友