美国信息安全风险评估工作流程详述.docxVIP

美国信息安全风险评估工作流程详述 通过参考NIST SP800系列标准关于信息安全风险评估的阐述，以下列举了美国政府在实施风险评估和风险控制时的一般流程，具有普遍性，但并不意味着这是固定不变的方法。 步骤1：描述体系特征 在对信息系统的风险进行评估中，第一步是定义工作范围。在该步中，要确定信息系统的边界以及组成系统的资源和信息。对信息系统的特征进行描述后便确立了风险评估工作的范围，刻画了对系统的进行授权运行（或认可）的边界，并为风险定义提供了必要的信息（如硬件、软件、系统连通性、负责部门或支持人员）。 本附录所描述的方法学可运用于对单个或多个相关联系统的评估。在评估多个关联系统时，要在运用这些方法学之前就定义好所关心的域、全部接口及依赖关系。 步骤1.1?系统相关信息 识别信息系统风险时，要求对系统的运行环境有着非常深入的理解。因此从事风险评估的人员必须首先收集系统相关信息，通常这些信息分为如下几类： 硬件 软件 系统接口（如内部和外部连接） 数据和信息 信息系统的支持和使用人员 系统使命（例如信息系统实施的处理过程） 系统和数据的关键性（例如系统对于单位的价值或重要性） 系统和数据的敏感性 与信息系统及其数据的运行环境相关的其它信息还包括——但不限于——以下信息： 信息系统的功能需求 系统的用户（例如为信息系统提供技术支持的系统用户，使用信息系统完成业务功能的应用用户等） 信息系