信息安全风险评估实施

风险评估的实施过程包括信息安全风险评估准备、资产识
别、威胁识别、脆弱性识别、已有安全措施确认和风险分析六个
阶段。

风险评估准备，随后进行资产识别，威胁识别，脆弱性识别。三个识别通过后进行已有安全措施的确认，随后进入风险分析：风险分析前准备评估过程文档，然后风险计算再准备评估过程文档。风险是否接，是的就保存已有的控制措施，最终实施风险管理。选择否的则要选择适当的控制措施并评估残余风险，再是否接受残余风险，否的就再选择适当的控制措施。接受的残余风险并做出评估结果文档，实施风险管理。

最重要的是懂风险评估的基本流程：资产识别（七大资产）、威胁识别、脆弱性识别、不可接受风险处理计划

脆弱性与威胁是一对多、多对多的，就是说一个脆弱性可能有多个威胁，一般做的时候先识别完脆弱性再对就识别威胁

资产识别小组职责：
负责资产的识别工作，并向项目负责人提交《资产识别表》、《重要资产赋值表》。
威胁识别小组职责：
负责对资产进行威胁识别工作，并向项目负责人提交《资产威胁识别表》。
脆弱性识别小组职责：
负责对资产进行脆弱性识别工作，并向项目负责人提交《脆弱性汇总表》。
风险分析小组职责：
项目负责人兼任该组组长，由项目负责人组织各相关人员，在对资产进行安全措施有效性确认的基础上进行风险分析，形成最终的风险评估报告，并向最高管理者代表提交报告，由最高管理者代表确认。
应急响应小组职责：
负责针对风险评估过程制定应急工作预案，在出现的意外情况时进行应急响应。

资产识别
资产识别小组参考《深圳市信息安全风险评估实施指南》分类列明评估范围内的各项资产，对资产的重要性程度赋值，筛选出重要资产，并对重要资产的信息安全三性（保密性、完整性、可用性）进行赋值。
主要从以下7类资产进行识别：硬件/软件/文档和数据/业务应用/人力资源/物理环境/组织管理
实施方法主要是风险评估小组工作人员召开会议讨论。

威胁识别
威胁识别小组参考《深圳市信息安全风险评估实施指南》，分类列明重要资产可能面临的威胁。
实施方法主要是威胁识别小组查阅防火墙和IDS的日志，并结合以往的安全事件记录，开会讨论资产面临的威胁。