15.2 風險管理的過程與活動

15.2.1　風險管理過程概述

依據信息系統廢棄階段的安全目標和安全需求，該階段的主要風險管理活動包括：確定廢棄對象，對廢棄對象的風險評估，對廢棄對象及廢棄過程的風險處理，同時在上述過程中通過監控審查、溝通咨詢來確保本階段風險管理目標的實現。各項活動在風險管理過程中所處位置如表21所示。

15.2.2　確定廢棄對象

信息系統在經過一段時間的運行及使用之后，系統的部分或全部可能不再需要。這時需要對廢棄的部分進行分析，確定系統的哪些部分需要廢棄。廢棄對象的考慮范圍包括被廢棄的信息、硬件、軟件、或者是整個系統。
應建立廢棄對象的清單，并進行標識。

15.2.3　廢棄對象的風險評估

廢棄系統的風險評估主要應考慮被廢棄的信息、硬件和軟件的安全要求，分析廢棄對原有系統造成的威脅和脆弱性，評估不安全廢棄可能帶來的影響和可能性。
廢棄系統的安全要求應在保證原有系統的保密性、完整性和可用性的前提下，重點考慮廢棄信息與系統的保密性要求，確保敏感信息不會泄漏。

15.2.4　廢棄過程的風險處理

廢棄過程的風險處理應考慮建立廢棄系統的安全處置程序，可考慮以下處理措施：
a)對載有敏感信息的媒體應加以安全妥當的保存或采用安全的方式加以處置，如焚燒或碎片，或在清空數據后供本組織內的其他方面使用；
b)把所有的媒體收集起來并進行安全的處置，比試圖分離出敏感的物品可能更加容易；
c)許多組織對文件、設備和媒體提供收集和處置的服務。應注意選擇一個適當的具有足夠的處理措施和經驗的承包商；
d)若可能，對敏感物品的處置應進行記錄，以便保持審核蹤跡。
在堆積媒體等候集中處理時，應當考慮到聚集效應，即大量未分類信息堆置在一起可能比少量已分類的信息更敏感。

15.2.5　廢棄后的評審

在執行完廢棄過程后應對系統廢棄后的殘余風險進行評審，確保殘余風險是在信息系統的可接受范圍內。
評審的內容包括確認廢棄后系統中的敏感信息已被有效清除，系統廢棄的安全要求已得到滿足等。