请简述一下风险评估流程及各阶段工作内容
确定风险评估的目标
明确风险评估要达到的目的
确定风险评估的范围
明确评估对象如某信息系统,明确评估边界,明确不在评估范围内的内容
组建适当的评估管理与实施团队
明确组织架构和职责分工,包括:
管理层(决策与资源支持)
评估负责人(总体协调与进度控制)
技术人员(负责漏洞分析、系统测试)
业务代表(提供业务流程与关键资产信息)
进行系统调研
调查系统的结构、功能、业务流程、运行环境及安全措施
收集文档资料
通过访谈、问卷、现场查看等方式了解系统实际运行情况
确定评估依据和方法;
明确评估所依据的标准、规范或政策
选择评估方法:
定性评估
定量评估
混合评估
建立风险评价准则
确定风险等级划分标准。
明确风险接受标准,即组织可容忍的风险水平。
形成风险评价矩阵,用于后续风险分级与排序
制定评估方案,并获得最高管理者的支持和批准
综合前述内容,编制《风险评估实施方案》
向最高管理者汇报,争取资源与授权