但不仅限于):Р a)团队组织:包括评估团队成员、组织结构、角色、责任等内容;Р b)工作计划:风险评估各阶段的工作计划,包括工作内容、工作形式、工作成果等内容;Р c)时间进度安排:项目实施的时间进度安排。Р5.1.8 获得支持Р 上述所有内容确定后,应形成较为完整的风险评估实施方案,得到组织最高管理者的支持、批准;对Р管理层和技术人员进行传达,在组织范围内就风险评估相关内容进行培训,以明确有关人员在风险评估Р中的任务。Р5.2 资产识别Р5.2.1 资产分类Р 保密性、完整性和可用性是评价资产的三个安全属性。风险评估中资产的价值不是以资产的经济Р价值来衡量,而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度Р来决定的。安全属性达成程度的不同将使资产具有不同的价值,而资产面临的威胁、存在的脆弱性、以Р及已采用的安全措施都将对资产安全属性的达成程度产生影响。为此,应对组织中的资产进行识别。Р 在一个组织中,资产有多种表现形式;同样的两个资产也因属于不同的信息系统而重要性不同,而Р且对于提供多种业务的组织,其支持业务持续运行的系统数量可能更多。这时首先需要将信息系统及Р相关的资产进行恰当的分类,以此为基础进行下一步的风险评估。在实际工作中,具体的资产分类方法Р可以根据具体的评估对象和要求,由评估者灵活把握。根据资产的表现形式,可将资产分为数据、软件、Р硬件、服务、人员等类型表 1列出了一种资产分类方法。Р 表 1 一种基于表现形式的资产分类方法Р 分类示例Р 保存在信息媒介上的各种数据资料,包括源代码、数据库数据、系统文档、运行管理规程、计划、报告、用Р 数据Р 户手册、各类纸质的文档等Р 系统软件:操作系统、数据库管理系统、语句包、开发系统等Р 软件应用软件:办公软件、数据库软件、各类工具软件等Р 源程序:各种共享源代码、自行或合作开发的各种代码等
全文预览
