基線評估
如果壹個組織的業務運作不是很復雜,並且該組織對信息處理和網絡的依賴不是很高,或者該組織的信息系統大多采用通用的、標準化的模型,基線風險評估可以直接、簡單地實現基本的安全級別,滿足該組織及其業務環境的所有要求。
利用基線風險評估,組織根據其實際情況(行業、業務環境和性質等)對信息系統進行安全基線檢查。)(將現有的安全措施與安全基線中指定的安全措施進行比較,找出差距),並獲得基本的安全要求,通過選擇和實施標準的安全措施來降低和控制風險。所謂安全基線,就是許多標準和規範中規定的壹套安全控制措施或做法。這些措施和做法適用於特定環境下的所有系統,能夠滿足基本的安全要求,使系統達到壹定的安全防護水平。組織可以根據以下資源選擇安全基準:
國際標準和國家標準,如BS 7799-1和ISO 13335-4;
行業標準或建議,如德國聯邦安全局IT基線保護手冊;
具有類似業務目標和規模的其他組織的實踐。
當然,如果環境和商業目標是典型的,組織也可以建立自己的基線。
基線評估具有資源少、周期短、操作簡單等優點。對於許多具有相似環境和相似安全需求的組織來說,基線評估顯然是最經濟有效的風險評估方法。當然,基線評估也有其不可避免的缺點,如基線水平難以設定。如果過高,可能導致資源浪費和限制過多。如果太低,可能很難做到完全安全。此外,很難管理與安全相關的更改。
基線評估的目標是建立壹組最低限度的對策,以滿足信息安全的基本目標,這些對策可以在整個組織中實施。如果有特殊需要,應該對特定系統進行更詳細的評估。
詳細評估
詳細的風險評估要求對資產進行詳細的識別和評估,對可能引起風險的威脅和漏洞級別進行評估,並根據風險評估的結果識別和選擇安全措施。這種評估方法體現了風險管理的思想,即識別資產的風險並將風險降低到可接受的水平,以證明管理者采取的安全控制措施是適當的。
詳細評估的優點是:
1.壹個組織可以通過詳細的風險評估對信息安全風險有準確的認識,準確定義組織當前的安全級別和安全需求;
2.詳細評估的結果可用於管理安全變更。當然,詳細的風險評估可能是壹個非常耗費資源的過程,包括時間、精力和技術。因此,組織應該仔細設置要評估的信息系統的範圍,並定義業務環境、運營和信息資產的邊界。
組合評價
基線風險評價消耗資源少,周期短,操作簡單,但不夠準確,適用於壹般環境評價。詳細的風險評估準確細致,但消耗資源較多,適合在邊界界定嚴格的小區域進行評估。基於子實踐,組織大多采用兩者相結合的組合評價方法。
為了決定選擇哪種風險評估方法,組織首先對所有系統進行初步的高級風險評估,重點是信息系統的業務價值和可能的風險,並確定具有高風險或對其業務運營至關重要的信息資產(或系統)。這些資產或系統應該納入詳細風險評估的範圍,而其他系統可以通過基線風險評估直接選擇安全措施。
這種評估方法結合了基線評估和詳細風險評估的優點,既節省了評估所消耗的資源,又保證了評估結果的全面性和系統性。而且可以把機構的資源和資金運用到最有效的地方,可以提前關註高風險的信息系統。當然,組合評估也有缺點:如果前期高級風險評估不夠準確,可能會忽略壹些需要詳細評估的系統,最終導致結果不準確。