随着业界对于信息安全问题认识的不断深入,随着信息安全体系的不断实践,越来越发现信息安全问题和其他安全问题(比如,健康问题、财产安全、金融安全等)一样,最终都归结为一个风险管理问题。 安氏已经将风险管理方法推崇为能够真正为客户解决安全问题,建立良性的安全技术和管理体系的依据和基础。 安氏推崇的基本信息安全风险管理流程分为下面一些阶段:
|
| 需求分析和范围定义 |
| |
资产鉴别和分类
威胁分析
安全保障需求级别定义(可选)
|
| 风险详细评估和分析(半定量) |
| |
弱点分析
现有安全措施分析
综合风险分析
风险的量化和分级
|
| 安全措施设计和实施 |
| |
安全措施选择
安全策略改进和设计
安全解决方案设计
安全措施实施
|
| 复核和复审 |
| |
残余风险评估
对于第一和第二阶段的内容进行定期的再评估
|
安氏在制订自身的信息安全风险管理体系和规范时,充分参考的多个国际标准。力图为客户提供高素质的、符合国际标准和国际潮流的服务。
|
