如何进行网络信息安全风险管理?
3、风险评估
风险评估确定信息资源的价值,识别适用的威胁和脆弱性(现有或潜在),识别对现有控制措施的影响和已识别的风险,识别潜在结果,优先考虑风险,并根据风险类别的风险评估标准对其进行分类。
风险评估的目的是通过风险评估的结果来确定信息安全要求。信息安全风险管理需要根据风险评估结果确定后续的风险管理和授权监控活动。您可以准确地本地化实践和工具,专注于核心问题,并选择具有成本效益和适用性的安全措施。事实证明,基于风险评估的风险管理方法实际上是有效和实用的,并在各个领域得到了广泛应用。
风险评估过程包括四个阶段:风险评估准备、风险因素识别、风险分析和风险结果评估。在信息安全风险管理过程中,风险评估活动将收到背景评估阶段的结果,形成该阶段的最终产品“风险评估报告”,为风险管理活动提供输入。
4、授权监督
审计监控包括审计和持续监控两部分。
许可证是机构的决策者,根据风险评估和风险管理的结果是否符合信息系统安全要求来批准风险管理活动。审批应在机构内部或高级监管机构的决策层进行。
持续监控是指组织,能够检查信息系统和信息安全环境的变化,监控潜在的安全风险,并影响信息系统安全级别的变化。监督通常由组织的内部管理和执行层进行,必要时根据信息系统的性质和组织本身的专业性提供支持。你也可以向原班的外部专业组织寻求支持。
风险评估和风险管理结果的审批和持续监测,不仅要基于相关标准和刚性比较,还要关注信息系统的工作,做好相关工作。通过评估公司的重要性和损失的影响,授权有两个标准(原则)。首先,信息系统的剩余风险是可以接受的;其次,安全措施能够满足当前信息系统业务的安全要求。
