11.2 風險管理的過程與活動

11.2.1　風險管理過程概述

依據信息系統規劃階段的安全目標和安全需求，該階段的主要風險管理活動包括：明確信息系統安全總體方針、信息系統安全需求分析、風險評估準則達成一致、信息系統安全實現論證分析等，同時在上述過程中通過監控審查、溝通咨詢來確保本階段風險管理目標的實現。各項活動在風險管理過程中所處位置如表17所示：

對于上述風險管理活動，由于處于項目的起始階段，因此特別需要重視溝通與監控的環節。確保在項目的規劃階段，就安全目標、管理范圍、評價準則等在機構內達成一致是項目能否順利進行和成功完成的關鍵。

11.2.2　明確安全總體方針

可通過以下方法來管理安全總體方針制定過程中可能引入的安全風險。
首先，應對安全總體方針文檔的完整性、條理性、明確性等進行審查。
其次，應參考國家標準、相關國際標準、行業標準及公認安全管理實踐等對安全總體方針文檔的內容進行審查。
審查的內容至少應包括以下項目：
1、是否已經制定并發布了能夠反映機構安全管理意圖的信息安全文件
a)審查機構當前業務期望；
b)審查機構當前安全總體方針；
c)審查機構當前安全策略。
2、風險管理過程的執行是否有機構保障
a)審查組織機構的結構合理性；
b)審查職責分工的合理性；
c)審查監控審查過程的合理性。
3、是否有專人按照特定的過程定期進行復審與評價
a)審查機構當前風險管理復查過程；
b)審查復查情況及調整計劃；
c)審查能否確保當系統安全狀態發生變化時及時地進入復審與評價的過程，以便及時地修改安全策略，恢復到機構可接受的安全狀態。
4、風險管理的范圍是否明確
以上項目需根據信息系統具體情況進行增加或刪減，對于安全總體方針的審查過程需得到信息系統所屬機構相關部門的批準監督。

11.2.3　安全需求分析

可通過以下方法來管理安全需求分析過程中可能引入的安全風險。
首先，應對安全需求分析文檔的完整性、條理性、明確性等進行審查。
其次，應采用信息安全風險分析方法，通過對信息系統進行風險評估來發現當前安全保障體系中存在的不足。
以上過程中，缺少任何一個過程都將給風險評估結果帶來較大的偏差，因此應重視過程的全面性并保證每個過程的正確實施。
對于安全需求分析文檔的審查過程需得到信息系統所屬機構相關部門的批準監督。

11.2.4　風險評估準則達成一致

可通過以下方法來管理風險評估準則制定過程中可能引入的安全風險。
首先，應對風險評估準則文檔的完整性、條理性、明確性等進行審查。
其次，可通過問卷調查或專人訪談的方式審查風險評估準則是否得到信息系統所屬機構一致性的認可。審查項目如下：
a)風險管理的要素是否得到一致性認可；
b)風險評估準則是否得到一致性認可。
對于風險評估準則，機構應保證準則文檔的清晰性和明確性，以及是否得到機構的一致認可，如果風險評估準則不能達成一致，這將直接導致無法對風險作出公認的評價，從而導致風險評估的失敗。
對于風險評估準則的審查過程需得到信息系統所屬機構相關部門的批準監督。

11.2.5　安全實現可能性論證分析

可通過以下方法來管理系統規劃安全實現論證過程中可能引入的安全風險。
首先，應對系統規劃文檔的完整性、條理性、明確性等進行審查。
其次，應對系統規劃中安全實現方案進行詳細的分析和論證。審查項目如下：
a）系統規劃中是否考慮信息系統的威脅、環境，并制定安全實現方案；
b）系統規劃中是否描述信息系統預期使用的信息，包括預期的應用、信息資產的重要性、潛在的價值、可能的使用限制、對業務的支持程度等；
c）系統規劃中是否描述所有與信息系統安全相關的運行環境，包括物理和人員的安全配置，以及明確相關的法規、組織安全策略、專門技術和知識等。