二、科学地提升执行效率和准确性

在风险的评估与评价阶段，项目团队的成员应把绝大部分精力投入到风险项的识别和级别定义，除了依赖于执行者的信息安全评估的经验外，使用有效的方法论和工具方法对于提升执行效率和准确性也具有非常重要的意义。

1、建立有效的风险分析模型

在风险评估过程中，atsec所使用的风险分析模型会包括多个层面，以更有效地进行风险评价。模型方法如下：

风险发生的可能性

初步的控制措施

风险发生对客户业务的影响

风险发生对客户品牌的影响

风险发生对客户收益的影响

对于具体的分析过程，由评估人员基于访谈情况、渗透情况以及相关的信息输入，从品牌、收益和客户三方面的影响进行展开。每一选项的赋值基于方法论中的准则进行确定，下图为整个风险评估过程中，对数据库和应用系统存在威胁的评定示例：

2、使用半定量化的风险计算方法

因威胁本身具有不断变化和难以测量的性质，推荐明智地使用半定量化的测试方法。在具体的执行过程中，atsec的做法是通过对每个威胁的评估结果给出半定量的评级，并进一步通过风险计算方法使最终的评估结果更精确。因篇幅原因，在此不展开具体的风险计算方法。

3、使用自动化的风险计算工具

基于风险评估在执行过程中，atsec使用自有开发的计算工具，以最大程度上节省风险计算所占用的工作量。

4、最大限度地使用辅助工具

在对技术类威胁的评估过程中，如关键帐号和口令安全性，通过管理访谈方法通常难以做出准确的判断。atsec则会在类似的过程中尽最大限度地使用各种辅助工具和手段，比如密码安全性验证、服务器的技术漏洞等。

三、评估结果的高效使用

在对所有的威胁完成风险评估后，如何有效地将风险结果转化为组织进行高效改进的发动机呢?

1、自动、清晰地呈现风险发现与结果

在发现并对信息安全风险进行评价后，自动地呈现风险结果与发现不仅可以极大地节省风险评估过程中的资源，也将使得管理层清晰地知晓关键的信息安全风险。这对于信息安全风险评估项目的收益具有非常重要的意义。在风险评估过程中，atsec会通过自动化工具全面展现风险评估的发现与结果，如下图所示：

2、全生命周期的风险管理

一旦一个风险被识别出来之后，将对其整个过程进行管理和控制。通常的处理方法包括：风险降低(如通过技术手段降低其影响或可能性)、风险转移(如购买保险或通过第三方合同转移)和风险接受(管理层正式接受风险及其影响)等。建议组织在执行过程中使用自动化的工具跟踪每一个风险的最终处理方法，以避免风险项被忽略和措施不到位的情况。

3、自上而下的管理决策

对于识别到的风险，需要管理层投入资源进行处理，在此看来自上而下的管理决策非常重要。atsec在风险评估管理过程中，会通过自动化的工具列举出来，然后需要组织的管理层首先进行低级别风险的接受，最后将工作着眼于中、高级别风险整改措施的确定。

4、通过投入产出比指导安全措施的制定

在排除可接受的风险后，所剩余风险项的管理也是风险评估后期的难点之一。在此过程中，atsec推荐从投入产出比的角度考虑措施的制定。笔者认为，在整个信息安全风险评估过程中所做出的努力不仅仅是一项时间、金钱和人员的投入，而是一项为组织避免由安全风险带来更大安全损失的核心。能做到这个的关键一点是在风险整改措施的投入方面，应至少要小于所避免的安全损失，这就要求借助于半定量化的指标来指导安全措施的选择，以达到最大的投入产出比。

在整个风险评估过程中，atsec采用的半定量化的方法和结果仍然可用于达到此目的。举例来看，对于识别出的“应用层XXX漏洞”的整改措施，则可以基于应用的价值以及该漏洞的风险值确定该风险的损失值，而安装WAF设备、使用商业应用层漏洞扫描工具、使用开源工具进行应用扫描、由开发人员进行安全代码检查等措施每个的投入也可以从工作量和设备投入角度进行确认，这将使得最终的措施或措施组合为组织产生更大价值。

小结：

对于风险评估这样专业性很强的工作，建议组织从信息安全经验和积累的角度出发，选择、借鉴并融合业界优秀风险评估机构的经验和实践，以最大化风险评估的收益。对于执行策略，应充分融合内、外部资源，明智全面地覆盖所有威胁，并通过执行过程的自动化和投入产出比的优化，使风险评估工作真正地成为应对各类风险以及风险合规的利剑。

atsec是一家独立且基于标准的IT(信息技术)信息安全咨询和评估服务公司，它充分结合了丰富的技术知识和国际经验，可以为组织提供具有商业导向的信息安全服务。atsec 利用其对安全保障、应用和标准方面的丰富专业知识，将协助组织建立完整的安全管理流程，进而有效地管理安全风险，改善数据和产品，以确保业务流程的可靠性。

(责任编辑：安博涛)