5.風(fēng)險(xiǎn)評估途徑

1)基線評估( Baseline Risk Assessment，BRA)：

安全基線是諸多標(biāo)準(zhǔn)規(guī)范中規(guī)定的一組安全控制措施或者慣例，這些措施和慣例適用于特定環(huán)境下的所有系統(tǒng)，可以滿足基本的安全需求，使系統(tǒng)能達(dá)到一定的安全防護(hù)水平。

可選的安全基線包括：國際標(biāo)準(zhǔn)和國家標(biāo)準(zhǔn)，例如BS2'7001、信息安全等級保護(hù)；行業(yè)標(biāo)準(zhǔn)或推薦，例如德國聯(lián)邦安全局IT基線保護(hù)手冊；來自其他有類似商務(wù)目標(biāo)和規(guī)模的組織的慣例等。

適用范圍：組織的商業(yè)運(yùn)作不是很復(fù)雜，對信息處理和網(wǎng)絡(luò)的依賴性不是很高，或者組織信息系統(tǒng)多采用普遍且標(biāo)準(zhǔn)化的模式。

評估策略：根據(jù)組織實(shí)際的情況，對信息系統(tǒng)進(jìn)行基線檢查（用現(xiàn)有的安全措施與安全基線規(guī)定的措施進(jìn)行比較，找出差距），得出基本的安全需求。通過選擇并實(shí)施標(biāo)準(zhǔn)的安全措施來消減風(fēng)險(xiǎn)和控制風(fēng)險(xiǎn)。

2)詳細(xì)評估

對資產(chǎn)進(jìn)行詳細(xì)識(shí)別和評價(jià)，對可能引起風(fēng)險(xiǎn)的威脅和弱點(diǎn)水平進(jìn)行評估，根據(jù)風(fēng)險(xiǎn)評估的結(jié)果來識(shí)別和選擇安全措施。即識(shí)別資產(chǎn)的風(fēng)險(xiǎn)并將風(fēng)險(xiǎn)降到可接受的水平，以此證明管理者所采用的安全措施是恰當(dāng)?shù)摹?/p>

3)組合評估：

采用基于基線評估與詳細(xì)評估兩者之間的評估方式。

方法：組織應(yīng)先對所有系統(tǒng)進(jìn)行一次初步的高級風(fēng)險(xiǎn)評估。著眼與信息系統(tǒng)的商務(wù)價(jià)值和可禽邑面臨的風(fēng)險(xiǎn)，識(shí)別出組織內(nèi)具有高風(fēng)險(xiǎn)或?qū)ζ渖虅?wù)運(yùn)作極為關(guān)鍵的信息資產(chǎn)（或系統(tǒng)），這些資產(chǎn)或系統(tǒng)應(yīng)劃分在詳細(xì)風(fēng)險(xiǎn)評估的范圍√而其他系統(tǒng)則可以通過基線風(fēng)險(xiǎn)評估直接選擇安全措施。