2021年5月因为机缘巧合,转换了工作环境,也完成了一轮新的职业变更,从风控审计转至安全管理,安全管理对于本人又是一个全新的领域,基于对安全领域的了解不够深入,把工作中的项目做一个总结分享,若有不足,还请批评指正。
最近一段时间涉及到的工作内容主要是涉及信息安全的风险评估,其重要目标是为了发现,分子公司日常业务运作过程中的安全风险,并加以收敛。
说到风险评估,业界常用的风险评估方式主要有两种:
1. 定量风险评估
2. 定性风险评估
而在实际风险评估的过程中,以上两种方式,多数时候可以说难以真正运用,其主要原因是,例如你碰到的是一个完全没有任何的历史资料的公司。
能够使用的方式认为是,了解目前风险评估的组织所涉及的业务以及业务流程,并从中关注信息安全的要点。
而整个风险评估的过程,我将其划分为风险评估前,风险评估时,风险评估后。具体内容主要包括:
一、风险评估前
业务了解
1. 主要运作哪些业务?
——要求提供解答。
2. 业务流程脉络如何?业务流程输入及输出有哪些?
——要求提供流程图或流程说明。
3. 业务的运作会使用到什么数据?数据会包括什么内容?
——要求查看业务运作会使用到的系统/数据/文档等。
4. 业务的开展会使用到哪些系统、软件?
——列清单要求提供,包括内部、外部。
5. 创建风险访谈提纲
——理清访谈思路
6. 创建资产表
——提前收集被访谈对象所属业务部门的资产数据,包括,硬件、软件、文件、系统(内部及外部)、服务。
7. 创建访谈计划
——包括访谈人、访谈时间、访谈地点。
二、风险评估时
1. 会议记录
——推荐录音或文件记录的方式
2. 依据访谈提纲提问
——依据访谈提纲主体脉络,根据被访谈人回答的具体情况根据本次访谈的主要目的适当进行延伸。
3. 问题确认
——过程中存在的疑问,当场解决,若存在无法当场解决的,提前说明。
三、风险评估后
1. 整理访谈提纲
——根据访谈过程中被访谈人的回答,整理访谈纪要。
2. 整理资产表
——根据访谈过程中被访谈人的回答,整理资产表,确定是否存在遗漏。
3. 整理风险点
——根据风险评估关注点,结合实际访谈情况,罗列风险点,如,高风险(风险判定应当依据事先依据公司业务情况制定风险评估的指标来进行判定),xxx存在权限申请与授权人员为同一人的职责未分离风险。
4. 初稿再次确认
——初步整理完成的访谈提纲、资产表、风险汇总表,与被访谈人员确认,描述内容是否属实,是否需要纠正。
5. 完成风险评估
——整合所有风险评估相关资料。