» 第二章  信息安全工程实践应用



               性，和用户的目标保持一致。
                   2.关注重点资产
                   资产是与信息相关的资产。信息安全风险评估方法是基于信息资产的，是因为资
               产是所有后继评估活动的核心。组织的资产可能有很多，它们的重要性是不一样的，

               在风险评估过程中，我们关注于那些对实现组织的目标产生较大影响、至关重要的关
               键资产。由于用于风险评估的资源有限，我们选择关键资产进行评估，以使得评估成
               为一种成本有效的评估。
                   3.用户参与

                   在整个安全评估服务过程中，特别强调用户的参与，不管是从最开始的调查阶
               段，还是分析阶段都十分注重用户的参与。用户参与的形式多样，可能是调查问卷、
               访谈和讨论会等形式。每个阶段之后都设有评审过程，以保证能根据用户的实际情
               况，提供更好的服务。

                   4.重视质量管理和过程
                   在整个风险评估项目过程中，特别重视质量管理。为确保咨询单位咨询项目实施
               的质量，项目将设置专门的质量监理以确保项目实施的质量。项目监理将依照相应各

               阶段的实施标准，通过记录审核、流程监理、组织评审、异常报告等方式对项目的进
               度、质量进行控制。

                   二、信息安全工程的风险因素评估

                   （一）资产评估

                   信息资产的识别和赋值是指确定组织信息资产的范围，对信息资产进行识别、分
               类和分组等，并根据其安全特性进行赋值的过程。
                   信息资产识别和赋值可以确定评估的对象，是整个安全服务工作的基础。另外，

               本阶段还可以帮助客户实现信息资产识别和价值评定过程的标准化，确定一份完整
               的、最新的信息资产清单，这将为客户的信息资产管理工作提供极大帮助。
                   信息资产识别和赋值的首要步骤是识别信息资产，制定《信息资产列表》。信息
               资产按照性质和业务类型等可以分成若干资产类，如数据、软件、硬件、设备、服务

               和文档等。根据不同的项目目标与项目特点，重点识别的资产类别会有所不同，在通
               常的项目中一般以数据、软件和服务为重点。
                   资产赋值可以为机密性、完整性和可用性这三个安全特性分别赋予不同的价值等
               级，也可以用相对信息价值的货币来衡量。根据不同客户的行业特点、应用特性和安

               全目标，资产三个安全特性的价值会有所不同，如电信运营商更关注可用性、军事部
               门更关注机密性等。


                                                                                          • 43 •