信息安全风险评估工作对于组织进行信息安全风险的有效管理、识别并修复安全风险点具有非常重要的意义，同时也是组织为满足安全合规管理的要求之一，如当前主流的信息安全管理体系ISMS-27001、PCI-DSS数据安全标准等均有明确的风险评估要求。而在实际风险评估工作的执行过程中，组织难免会走入一个极端：会因为合规或监管的要求而在极短时间内执行完成，因时间和人力等方面的分配，往往难以有效地发现和准确评价各种威胁的影响，使得风险评估流于形式。

在执行信息安全风险评估的过程中，有些组织会将风险评估工作委托给专业的安全风险评估机构来执行。诚然专业评估机构具有很强的方法论和知识积累，然而如果对每一个客户都用完全相同的方法和知识库，难免会出现对某些风险评价的偏差甚至缺失。

笔者认为，信息安全风险评估是一个专业性很强的工作，组织除了依赖于专业评估机构的能力以外，组织本身仍然需要明智地进行管理和影响，使得组织通过该过程可以真正有效地管理所面临的风险。

在风险评估的执行过程大体可以分为三个阶段，评估准备与识别、风险的评估与计算以及风险结果处置。准备与识别阶段主要进行资产梳理、威胁识别以及脆弱性识别等工作;评估与计算阶段主要基于识别到的风险要素和措施，进行风险的评价和计算;而处置阶段刚基于评估结果进行有效的风险处理，所采取的方法通常包括接受风险、降低风险或转移风险等。为便于理解，下图是GB/T 20984-2007标准中对风险评估过程，从整体上对风险评估工作所涉及的工作要素进行了说明。

因篇幅原因，本文不再具体描述和展开评估流程，而是侧重于风险评估过程的实践经验以及对执行方法的一些理解和建议。其中的不足之处，也非常欢迎业界朋友批评指正。

一、组织所面临风险的定制化

在风险评估的准备阶段， 需要针对组织当前的情况进行大量的信息收集，再加上对信息的分析与整理，这将占用大量的时间资源。而如果不进行梳理，则无法达到风险评估的预期效果。而制定适合组织当前状况的评估项，相关的实践经验如下：

1、扩展安全威胁信息库以覆盖组织面临的主要风险

如基于常见的信息安全风险来开展，难免存在对于威胁的忽略和偏差。组织可以从以下角度来考虑威胁数据库的构建：

威胁的种类

比如可以从对组织产生影响的角度，扩展组织所适用的威胁库分类。笔者认为威胁库的积累对于风险评估最终的效果将有直接的影响，建议组织在信息安全风险评估机构的选择过程中充分考虑评估机构对于信息安全知识，尤其是威胁知识库的积累。

借助于遍布全球的知识资源，atsec所采用的知识库体系可覆盖到信息安全风险的方方面面，如合规风险、物理安全、人员安全、安全管理、技术架构、介质管理、权限管理、密码管理、安全意识等多个领域。通过全面的安全风险分析，使得组织可以非常有针对性地制定当前以及未来的信息安全建设规划。

威胁的来源

组织在确定威胁的过程中，除了考虑自身面临的风险外，推荐从风险合规的角度来扩展威胁的信息来源。atsec 可以在风险评估过程中帮助组织梳理并明确组织所处行业的监管要求，指导组织建立或完善统一整合的管理体系，并有效地吸收和融合PCI、ISO/IEC 27001、ISO 9001、ITIL、SAS70 等标准，形成全面且有针对性的威胁信息库，使评估结果达到事半功倍的效果。

2、高效地进行资产的识别与评价

对于组织的信息资产，尤其是数据资产，难以进行有效地衡量和梳理。然而，风险评估过程中则需要对所影响的信息资产的价值纳入到评价体系。由此看来如何明智地组织资产的评价体系，并对资产进行合理评价是一个具有挑战性的工作。在该过程中，atsec的执行经验如下：

建立有效的资产层次

通常的资产层次可以从物理位置(如XX组织的生产机房)，到物理概念上的资产(如XX机房的XX服务器)，再到操作系统，进而到应用软件，最终到其中的数据。经过多层次的资产划分后，其好处是使得威胁与资产具有了明确的关联关系，便于后续的风险评价。

有效地使用“资产组”的概念

在建立资产层次后，也会带来资产类别和梳理过程的工作量的成倍增加。在atsec执行风险评估的过程中，会充分考虑低层级资产的梳理难度，更多地从业务流程划分的角度进行归类，在最大程度上使用“资产组”的概念，尽最大可能使用组合的方法降低难度。

3、快速收集与评价组织的管理体系

风险评估的执行更多地侧重于发现安全管理过程中的差距，管理体系梳理与具体评价应更多地由内部或外部审计来完成。然而，在此过程中也需要有一定的介入并给出初步评价，以便于安全流程等方面的实际评估。

(责任编辑：安博涛)