风险评估资产重要性识别_如何有效的进行风险评估？

前言

信息安全是网络发展和信息化进程的产物，近几年，无论是国家层面，还是企业本身，都对信息安全愈发的重视。风险管理的理念也逐步被引入到信息安全领域，并迅速得到较为广泛的认可。风险评估逐步成为信息安全管理的最为重要的手段之一。那如何规范的实施风险评估，保证信息系统的安全，成为很多企业安全负责人认真考虑的问题。

一、参考标准

1.1国外标准

NIST SP800-26 《Security Self-Assessment Guide forInformation Technology Systems》

NIST Special Publication 800-30 《Risk ManagementGuide for Information Technology Systems》

OCTAVE：Operationally Critical Threat, Asset, andVulnerability Evaluation Framework

ISO/IEC 17799:2000 《信息技术——信息安全管理实施细则》

ISO/IEC 27001:2005 《信息技术——信息安全管理实施规范》

AS/NZS 4360:1999 《风险管理》

ISO/IEC TR 13335 《信息技术安全管理指南》

1.2国内标准

GB/T 20984-2007《信息安全技术 信息安全风险评估规范》

GB/T 31509-2015《信息安全技术 信息安全风险评估实施指南》

GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》

GB/T 18336-2001《信息技术 安全技术 信息技术安全性评估准则》

二、前期准备

2.1 确定评估目标

因风险评估主要目标是信息系统，故开展风险评估开展之前，首先需要了解的就是此次风评的目标，可以是整个单位的所有信息系统，或者单个系统，单个系统的我们一般都是叫做专项风险评估。

2.2 确定评估范围

确定好风险评估的目标后，就需要对此目标的边界进行定义，可以从以下几个方面考虑：

1)待评估系统的业务逻辑边界(如独立的系统可以不需考虑)，例如跟哪些系统有数据交互，避免关联系统被渗透，从而导致此系统也被渗透，可以例举出；

2)网络及设备载体边界，这里最好有网络拓扑图，那样会比较清晰的看到支撑此系统的硬件设备情况，是否有冗余配置，例如服务器、交换机、路由器、安全设备等；

3)物理环境边界，主要讲的是机房的环境，有没有监控设备、防水、防雷、防潮、异常告警，其实等保测评时会考虑这方面，如机房太远或不方便查看，可以看看系统对应的最新测评报告；

4)组织管理权限边界，主要是需要明确目标系统是谁负责开发、维护、管理等。

2.3 组建评估团队

可能有同学会问，为什么需要组建团队去做这个事情呢？

经历过风险评估同学都知道，这工作是极其复杂的，会涉及非常多的方面，当然如果是传说中的“一个人的安全部”，预算又吃紧的单位，那就只能仰天长叹，默默搬砖吧，希望下面的内容对你有帮助。

下图是标准理想状态的团队组成，大厂或者预算充足的ZF单位才有这样的高配，单位可以根据公司内部的情况组建团队，也可以委托第三方有风险评估资质的公司负责。

2.4工作计划

风险评估是一个复杂繁琐的工作，常