风险评估中的调查研究.pptVIP

风险评估中的调查研究 胡冰 Hub@bjtec.org.cn 北京信息安全测评中心 项目主管 2005年8月 * 调查研究在风险评估工作中的意义 调查研究方法在风险评估工作中的应用 主要内容 调查研究方法的引入 调查研究的概念 调查研究在风险评估工作中的意义 调查研究方法在风险评估工作中的应用 风险评估过程简述 调查研究方法的分类 问卷调查方法在风险评估工作中的应用 风险评估过程简述 前期准备阶段—— 主要任务是：明确评估目标，确定评估所涉及的业务范围，签署相关合同及协议，接收被评估对象已存在的相关资料。展开对被评估对象的调查研究工作。 中期现场阶段 —— 主要任务是：编写测评方案，准备现场测试表、管理问卷，展开现场阶段的测试和调查研究工作。 后期评估阶段 ——主要任务是：撰写系统测试报告，进行补充调查研究，评估组依据系统测试报告和补充调研结果形成最终的系统风险评估报告。 调查研究方法分类 调查者对文件、档案及已存在材料的考察和分析，针对关键的材料，经调查对象同意，调查者复印存档作为证据 与系统运行维护有关的文件、档案及其他已存档材料 个案及文献调查 调查者通过特别设计的问题表格，由调查对象作自填式回答（调查者可协助解释问题），收集笔答资料 被评估系统中的个体（系统中的个别用户） 问卷调查 调查者与调查对象作面对面的谈话，收集口述材料和纸质证据 被评估系统中的个体或集体（决策者、系统维护人员和系统用户） 访谈调查 特点 调查对象 调查方法 问卷调查方法在风险评估工作中的应用 调查问卷的设计 调查问卷的类型 调查问卷的回收与分发 调查问卷的处理 调查问卷的设计 问题的质量 系统的规模 调查问卷的类型 结构型问卷 又称为封闭式问卷，它的特点是，问题的设置和安排具有结构化形式，问卷中提供限量的答案，被调查者只能选择作答 无结构型问卷 又称为开放式问卷，它的特点是在问题的设置和安排上，没有严格的结构形式，被调查者可以依据本人的意愿作自由式回答 调查问卷的类型 无结构型问卷 结构型问卷 ? 备注： 对调查对象的调研问题 对调查对象的简单描述 调查对象 调查类型 调研/记录人 被调查人 调查地点 调查日期 ····· 调查问题 ····· 2、您在本系统中所接触的信息如果泄密会造成何种后果？ 1、应用系统中处理的最重要信息是什么？该信息属于什么级别？ 保密性 信息级别描述 安全属性 调查问卷的回收与分发 问卷的回收率、有效率和分发方式?? 随着信息技术的不断发展，人们沟通方式和使用传输介质的种类也得到了扩充。问卷的分发方式也多种多样，调查者应当根据调查对象和调查方法的不同采用适合自己实际情况的问卷分法方式，以达到事半功倍的效果。 调查问卷的处理 在调查问卷回收处理阶段，针对一些回答不完整、不按要求回答和回答不正确的问卷都应作为无效问卷。对问卷的数据处理，必须建立在有效问卷的基础上，才能保征问卷调查结论的科学性。 。 在风险评估工作中，针对于回收的问卷必须进行认真的审查，问卷的结果直接影响风险评估结果的准确性。通过分析统计调查问卷的结果，我们应当对被评估系统的现状有深入的了解，明确被评估系统的实际安全需求、确定系统中的关键资产，从而为风险评估结果的准确性打下坚实的基础。 结论 ?调查研究方法在风险评估活动中的应用，在实践工作中已经得到很好的验证，其获得的效果和对风险评估工作各个环节的帮助是不言而喻的。在今后的风险评估实践中，我们应当适量、适度并综合运用调查研究的各类方法，充分利用各类方法的优势、通过各类方法的综合应用避开每种调查方法的不足，最大限度的发挥调查研究在风险评估中的作用，做好风险评估工作各个环节的铺路石。