一、概述
在对IT系统的风险进行评估中,第一步是定义工作范围。在这一步中,要确定IT系统的边界,以及组成系统的资源和信息。对IT系统的特征进行描述确立了风险评估工作的范围,描述了操作批准(或认可)边界,并对风险定义提供了必要的信息(如硬件、软件、系统连通性、负责部门或支持人员)。
成功的收集安全相关数据是进行信息技术系统安全风险分析与评估的关键。用于安全风险分析的数据来源有统计数据和专家分析。统计基于客观方式,而专家分析基于主观方式,必须有效地将这两种方式有机地结合起来。
二、系统相关信息
识别IT系统风险要求对系统运行的环境有着非常深入的理解。因此从事风险评估的人员必须首先收集系统相关信息,通常这些信息分为如下几类:(物理安全、管理安全、主机安全、网络安全)。
1) 硬件;
2) 软件;
3) 系统界面(如内部和外部连接);
4) 数据和信息;