风险评估途径

5.风险评估途径

1)基线评估( Baseline Risk Assessment，BRA)：

安全基线是诸多标准规范中规定的一组安全控制措施或者惯例，这些措施和惯例适用于特定环境下的所有系统，可以满足基本的安全需求，使系统能达到一定的安全防护水平。

可选的安全基线包括：国际标准和国家标准，例如BS2'7001、信息安全等级保护；行业标准或推荐，例如德国联邦安全局IT基线保护手册；来自其他有类似商务目标和规模的组织的惯例等。

适用范围：组织的商业运作不是很复杂，对信息处理和网络的依赖性不是很高，或者组织信息系统多采用普遍且标准化的模式。

评估策略：根据组织实际的情况，对信息系统进行基线检查（用现有的安全措施与安全基线规定的措施进行比较，找出差距），得出基本的安全需求。通过选择并实施标准的安全措施来消减风险和控制风险。

2)详细评估

对资产进行详细识别和评价，对可能引起风险的威胁和弱点水平进行评估，根据风险评估的结果来识别和选择安全措施。即识别资产的风险并将风险降到可接受的水平，以此证明管理者所采用的安全措施是恰当的。

3)组合评估：

采用基于基线评估与详细评估两者之间的评估方式。

方法：组织应先对所有系统进行一次初步的高级风险评估。着眼与信息系统的商务价值和可禽邑面临的风险，识别出组织内具有高风险或对其商务运作极为关键的信息资产（或系统），这些资产或系统应划分在详细风险评估的范围√而其他系统则可以通过基线风险评估直接选择安全措施。