» 第二章  信息安全工程实践应用



                   （二）风险评估方案制定
                   下面就评估过程所涉及的活动领域分别进行阐述。
                   1.评估团队建立
                   在风险评估过程中，人是各项活动的执行者，如何选择适合的人员组建项目评估
               团队是风险评估成败的关键。

                   如果组织的地理位置相对集中、规模较小，评估的主要活动是集中进行调查、分
               析，需要组建相对独立的评估团队，团队成员为专职评估人员；而在对大型组织进行
               评估时，由于组织部门众多且相对分散，其调查活动主要依赖部门员工完成，评估团

               队主要起推动评估活动的作用。
                   在对大型组织进行风险评估之前，需要对评估团队成员进行风险评估相关知识的
               正式培训，以适应接下来的评估活动。培训内容包括风险评估方法、组织业务、沟通
               技巧、安全评估工具使用等。对于小型组织而言，评估团队成员可以不经过专门的培

               训过程，而是在实际工作中逐步熟悉评估过程。
                   2.调查顺序选择
                   风险评估现场调查阶段的人员访谈方式可以采用自上而下和自下而上两种顺序。

               通常，进行调查时首先与组织高层管理人员进行沟通，包括调查范围、调查时间等需
               要进行确认，同时要获取管理者对组织信息安全的目标、策略等信息。明确了组织的
               安全目标后再逐级完成对相关人员的调查。
                   在组织结构清晰、人员职能明确的组织中采用先对一般员工进行访谈，将访谈结
               果整理、分析后再与高层管理者进行交流，提供给他们整理结果，并请组织高层管理

               者给出解决意见，这样所掌握的资料更接近组织的实际情况。
                   不论采用哪种调查顺序，评估团队获得组织高层管理者的支持是评估得以顺利进
               行的必要保证。

                   3.评估范围确定
                   确定评估范围是风险评估前期准备阶段的成果之一，它决定了后续的调查活动所
               涉及的领域。评估范围的确定直接影响最终评估结论的准确性，为了有效反映整个组
               织信息系统的风险，风险评估的范围应包括所有的组织功能。

                   对信息系统规模较小、结构较简单的组织进行风险评估时，评估范围可以包括所
               有系统资产、组织管理职能。大型组织的业务功能复杂，要求其信息系统提供的服务
               也是多样化的。对全部信息资产进行评估不但耗费大量的人力，而且周期长，缺乏时
               效性。应该将评估范围确定在核心系统，对于分支机构或子系统则选取具有代表性的

               部分进行评估。例如，选择通过远程访问的分支机构以评估网络访问安全。对于相同
               类型机构或系统，进行抽样评估，在选择样本时应保证样本数量为奇数，以便在整理


                                                                                          • 55 •