5、信息安全风险评估与管理全解析

信息安全风险评估与管理全解析

1. NIST 风险评估方法概述

NIST 风险评估方法包含以下几个关键步骤：
1. 准备风险评估 ：为后续的评估工作做好各项准备。
2. 管理风险评估 ：确保评估过程的顺利进行和有效管理。
3. 向关键人员传达评估结果 ：让相关人员了解评估情况，以便做出决策。
4. 长期维持风险评估 ：风险评估不是一次性的，需要持续进行。

风险评估应贯穿于组织的所有开发生命周期（DLCs）和风险管理层级。其频率和资源投入应根据评估的明确目的和范围来衡量。组织进行风险评估是为了确定与核心任务、业务功能、通用基础设施、支持服务或信息系统相关的常见风险。风险评估可以支持组织官员进行多种基于风险的决策和活动，包括但不限于：
- 开发信息安全架构。
- 解释信息系统之间的相互关系要求。
- 为信息系统和运行环境设计安全解决方案。
- 授权（或拒绝授权）信息系统的运行或使用继承的安全控制。
- 永久或在特定时间范围内修改任务/业务功能和/或流程。
- 实施安全解决方案。
- 安全解决方案的运行和维护。

2. 资产清单的创建

2.1 资产清单的格式和内容

资产清单应采用表格形式。以一家欧洲医院为例，其主要目标是帮助欧洲患者，该组织的资产包括场所、硬件、设备、客户和员工。虽然资产清单不应是人力资源表，但建议为每个系统分配一个产品所有者，产品所有者负责处理每个产品/系统背后的业