【摘要】:在整个风险评估过程当中,强调客户的安全需求分析,并将此作为信息安全风险评估的基准点,强调用户的个性,和用户的目标保持一致。信息安全风险评估方法是基于信息资产的,是因为资产是所有后继评估活动的核心。组织的资产可能有很多,它们的重要性是不一样的,在风险评估过程中,我们关注于那些对实现组织的目标产生较大影响、至关重要的关键资产。在整个风险评估项目过程中,特别重视质量管理。
4.6.1 风险评估实施原则
1.目标一致
信息安全的目的是为了使组织更有效地完成其业务目标。在整个风险评估过程当中,强调客户的安全需求分析,并将此作为信息安全风险评估的基准点,强调用户的个性,和用户的目标保持一致。
2.关注重点资产
资产是与信息相关的资产。信息安全风险评估方法是基于信息资产的,是因为资产是所有后继评估活动的核心。组织的资产可能有很多,它们的重要性是不一样的,在风险评估过程中,我们关注于那些对实现组织的目标产生较大影响、至关重要的关键资产。由于用于风险评估的资源有限,我们选择关键资产进行评估,以使得评估成为一种成本有效的评估。
3.用户参与
在整个安全评估服务过程中,特别强调用户的参与,不管是从最开始的调查阶段,还是分析阶段都十分注重用户的参与。用户参与的形式多样,可能是调查问卷、访谈和讨论会等形式。每个阶段之后都设有评审过程,以保证能根据用户的实际情况,提供更好的服务。
4.重视质量管理和过程
在整个风险评估项目过程中,特别重视质量管理。为确保咨询单位咨询项目实施的质量,项目将设置专门的质量监理以确保项目实施的质量。项目监理将依照相应各阶段的实施标准,通过记录审核、流程监理、组织评审、异常报告等方式对项目的进度、质量进行控制。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
