文档介绍:从最开始接触风险评估理论到现在,已经有将近 5 个年头了,从最开始的膜拜捧为必杀技,然后是有一阵子怀疑甚至预弃之不用,到现在重拾之,尊之为做好安全的必备法宝, 这么一段起起伏伏的心理历程。对风险的方法在一步步的加深, 本文从风险评估工作最突出的问题:如何得到一致的、可比较的、可重复的风险评估结果,来加以分析讨论。 1. 风险评估的现状风险理论也逐渐被广大信息安全专业人士所熟知,以风险驱动的方法去管理信息安全已经被大部分人所共知和接受, 这几年国内等级保护的如火如荼的开展, 风险评估工作是水涨船高, 加之国内信息安全咨询和服务厂商和机构不遗余力的推动, 风险评估实践也在不断的深入。当前的风险评估的方法主要参照两个标准,一个是国际标准《 ISO13335 信息安全风险管理指南》和国内标准《 GB/T 20984-2007 信息安全风险评估规范》,其本质上就是以信息资产为对象的定性的风险评估。基本方法是识别并评价组织/ 企业内部所要关注的信息系统、数据、人员、服务等保护对象, 在参照当前流行的国际国内标准如 ISO2700 2,COBIT ,信息系统等级保护,识别出这些保护对象面临的威胁以及自身所存在的能被威胁利用的弱点, 最后从可能性和影响程度这两个方面来评价信息资产的风险, 综合后得到企业所面临的信息安全风险。这是大多数组织在做风险评估时使用的方法。当然也有少数的组织/ 企业开始在资产风险评估的基础上, 在实践中摸索和开发出类似与流程风险评估等方法, 补充完善了资产风险评估。 2. 风险评估的突出问题信息安全领域的风险评估甚至风险管理的方法是借鉴了银行业成熟的风险管理方法, 银行业业务风险管理的方法已经发展到相当成熟的地步, 并且银行业也有非常丰富的基础数据支撑着风险分析方法的运用。但是, 风险评估作为信息安全领域的新生事物, 或者说舶来之物, 尽管信息安全本身在国内开展也不过是 10 来年, 风险评估作为先进思想也存在着类似“马列主义要与中国的实际国情结合走中国特色社会主义道路”的问题。风险评估的定量评估方法缺少必要的土壤,没有基础的、统计数据做支撑,定量风险评估寸步难移; 而定性的风险评估其方法的本质是定性, 所谓定性, 则意味着估计、大概, 不准确, 其本质的缺陷给实践带来无穷的问题, 重要问题之一就是投资回报问题, 由于不能从财务的角度去评价一个/ 组风险所带来的可能损失,因此,也就没有办法得到投资回报率,尽管这是个问题,但是实践当中, 一般大的企业都会有个基本的年度预算, IT/ 安全占企业年度预算的百分之多少, 然后就是反正就这么些钱,按照风险从高到低或者再结合其他比如企业现有管理和技术水平, 项目实施的难易度等情况综合考虑得到风险处理优先级, 从高到低依次排序, 钱到哪花完, 风险处理今年就处理到哪。这方法到也比较具有实际价值, 操作起来也容易, 预算多的企业也不怕钱花不完, 预算少的企业也有其对付办法, 你领导就给这么些钱, 哪些不能处理的风险反正我已经告诉你啦, 要是万一出了事情你也怪不得我, 没有出事情, 等明年有钱了再接着处理。这也不算难的,最难最突出的是那些不仅仅做个一次风险评估的企业,出问题了,几次风险评估的结果不具有可比性, 有时甚至还出现矛盾的地方, 比方说, 某个部门去年是某个岗位的上一任做的, 今年是另一位做的, 评估