作者以提供流程與管理顧問服務的方法論為基礎，參考BS7799國際標準的觀念，發(fā)展出完整的風險評估方法論，并協(xié)助多家公司建立信息安全體系，以下分別說明定義信息安全體系的范圍、進行風險評估、決定風險可接受水平以及選擇與設計控制措施的做法。

風險評估程序：閃電法

作者創(chuàng)作閃電法“風險評估程序(Risk Rvaluation Procedure)”大致上可分成幾個步驟，首先在風險評估之前，必須先分析企業(yè)營運模式，藉以決定整個信息安全體系的范圍，然后通過分析企業(yè)信息資產(chǎn)結構，清查所有信息資產(chǎn)，予以分類，并了解作業(yè)流程及安全控制現(xiàn)況，接下來必須針對每個信息資產(chǎn)類別，評估資產(chǎn)價值高低，資產(chǎn)本身弱點的面臨威脅的程序，并依據(jù)評估結果，計算信息資產(chǎn)風險水平，對于各項資產(chǎn)高低不同的風險水平，則須依據(jù)“風險水平重大性理論(Theory of Risk Materiality)”決定安全控制的程序，并采用作者依據(jù)BS7799國際標準的RA Tool的精神自行開發(fā)的工具，為每一項資產(chǎn)挑選應予控制的項目，并制定相關信息安全標準，作業(yè)程序，窗體等，最后再針對目前無法改進的風險項目，制定“風險因應對策”，以下分別說明每個步驟的簡易內(nèi)容。

營運模式與安全體系范圍

從營運模式中必須分析企業(yè)經(jīng)營環(huán)境概況，與下游客戶及上游供貨商的關系，核心部門及作業(yè)流程，支持性部門扮演的角色以及管理單位決策重點，然后依據(jù)企業(yè)策略或是面臨的挑戰(zhàn)，確定信息安全控管首要目標，次要目標以及整個體系運作范圍。

信息資產(chǎn)結構與資產(chǎn)清單

“信息資產(chǎn)結構圖(Struture of Information Assets,SIA)”是作者從Arthur Andtesen“商業(yè)信息架構” (Business Information Framework,BIF)的方法論以及網(wǎng)絡拓樸圖的概念衍生而來，BIF堪稱全球分析信息系統(tǒng)配置及信息流的最佳方法，SIA則進一步針對信息資產(chǎn)及關系結構做更明確的呈現(xiàn)，通過信息資產(chǎn)結構圖，可在弄清企業(yè)有哪些信息資產(chǎn)項目及類別，包括硬件、軟件、數(shù)據(jù)、文件、人員等項目，同時確認信息資產(chǎn)之間的關系，有助于了解整個作業(yè)流程、目前有哪些控制措施以及執(zhí)行情形，因而信息資產(chǎn)結構圖是企業(yè)掌握信息資產(chǎn)狀誤解的重要工具。

作業(yè)流程與信息作業(yè)控制現(xiàn)況了解

之前已提到，在確認企業(yè)信息資產(chǎn)結構狀況后，必須進一步了解作業(yè)流程以及各項控制措施執(zhí)行的現(xiàn)況，此部分可運用前面提到的流程設計(Process Mapping)方法及流程圖，為了協(xié)助企業(yè)內(nèi)部進行有效溝通以及日后企業(yè)自行運作信息安全體系考慮，建議在了解作業(yè)流程及控制現(xiàn)況時，產(chǎn)生相關輔助性文件，如“流程及控制說明文件(Description of Process and Control,DPC)”,根據(jù)作者經(jīng)驗，DPC的功用很像ISO文件，對于資產(chǎn)安全體系持續(xù)運作扮演很重要的角色。

資產(chǎn)價值、弱點、威脅的評估

藉由信息資產(chǎn)結構圖，可以得到企業(yè)所有信息資產(chǎn)的清單，予以分類并產(chǎn)生“信息資產(chǎn)報告(Information Assert Report,IAR)”，再加上了解作業(yè)流程以及控制措施現(xiàn)況時，會了解到各項信息資產(chǎn)的價值，本身的弱點及可的威脅，接下來可以用“信息資產(chǎn)價值評估表(Information Asset Value Evaluation Template,IAVET)”以及“信息資產(chǎn)弱點評估表(Information Asset Volunability & Threat Evaluation Template,IAVTET)”這兩項工具，評估每一項資產(chǎn)的價值、弱點值、威脅值，作為計算風險水平的基礎，這

    項目經(jīng)理勝任力免費測評PMQ上線啦！快來測測你排多少名吧~

    http://m.vanceur.cn/pmqhd/index.html