如何分析企业存在的风险
风险分析是标识信息系统的资产价值,识别信息系统面临着自然的和人为的威胁,识别信息系统的脆弱性,分析各种威胁发生的可能性,并定量或定性描述可能造成的损失。通过技术和管理手段,防范或控制信息系统的风险。
信息系统灾难恢复的风险分析主要根据企业机构现状和业务特点,全面识别并分析影响信息系统正常运行的风险因素,并分析这些因素发生的可能性。风险分析的范围主要考虑企业所在地区范围和与之在经济、业务上有紧密联系的邻近地区的交通、电信、能源及其他关键基础设施遭到严重破坏后企业所面对的可能性风险,同时还需要考虑企业信息系统中断所造成的系统性风险。系统性风险是指企业不能开展业务,造成的各种社会影响和损失。
所有的风险都应纳入企业的风险分析范围,并且应对各种风险的可能来源进行较准确的定位。而对于每一种风险的来源都应该认识到: 风险的类型; 风险的程度; 风险发生的可能性。
信息系统风险分析的范围
脆弱性是对信息系统弱点的总称。脆弱性识别是风险分析中最重要的一个环节。脆弱性识别可以从环境、网络、系统、应用等层次进行识别。脆弱性识别的依据可以是国际或国家安全标准,也可以是行业规范、应用流程的安全要求。在分析企业信息系统面临风险的脆弱性时,主要从以下两个方面考虑:
技术脆弱性。如物理环境、应用系统的安全问题;
管理脆弱性。包括技术管理和组织管理两个方面。
风险计算是采用适当的方法与工具确定威胁利用脆弱性导致信息系统灾难发生的可能性,主要包括: 计算灾难发生的可能性; 计算灾难发生后的损失; 计算风险值。
灾难发生造成业务中断,可能造成的损失主要包括: 直接经济损失; 间接经济损失; 负面影响损失。
风险分析的过程
对于要建立灾难恢复系统的企业来说,如何进行风险分析呢?我们可以按照《信息安全风险评估指南》中所定义的路线图来进行分析,如图2所示:
确定哪些系统存在风险 企业中存在着业务系统、财务系统、邮件系统等各种系统,风险评估者需要确定对哪些系统进行分析。比如,是对IT系统进行分析还是对非IT系统及部门进行分析。
确定风险分析目标 风险分析阶段应先明确分析的目标,即风险分析所要实现的功能,同时设置合理的期望值,为风险分析的过程提供导向。
之后要确定风险分析团队; 确定风险分析方法; 获取用户高层的支持。 |
