信息科技風險檢查一共有幾個階段

信息科技風險檢查一共有六個階段：

• 1、風險評估準備

  該階段的主要任務是制定評估工作計劃，包括評估目標、評估范圍、制定安全風險評估工作方案。根據評估工作需要，組件評估團隊，明確各方責任。

• 2、資產識別過程

  資產識別主要通過向被評估方發放資產調查表來完成。在識別資產時，以被評估方提供的資產清單為依據，對重要和關鍵資產進行標注，對評估范圍內的資產詳細分類。根據資產的表現形式，可將資產分為數據、軟件、硬件、服務和人員等類型。

  根據資產在保密性、完整性和可用性上的不同要求，對資產進行保密性賦值、完整性賦值、可用性賦值和資產重要程度賦值。

• 3、威脅識別過程

  在威脅評估階段評估人員結合當前常見的人為威脅、其可能動機、可利用的弱點、可能的攻擊方法和造成的后果進行威脅源的識別。威脅識別完成后還應該對威脅發生的可能性進行評估，列出為威脅清單，描述威脅屬性，并對威脅出現的頻率賦值。

• 4、脆弱性識別過程

  脆弱性分為管理脆弱性和技術脆弱性。管理脆弱性主要通過發放管理脆弱性調查問卷、訪談以及手機分析現有的管理制度來完成;技術脆弱性主要借助專業的脆弱性檢測工具和對評估范圍內的各種軟硬件安全配置進行檢查來識別。脆弱性識別完成之后，要對具體資產的脆弱性嚴重程度進行賦值，數值越大，脆弱性嚴重程度越高。

• 5、已有安全措施確認

  安全措施可以分為預防性安全措施和保護性安全措施兩種。預防性安全措施可以降低威脅利用脆弱性導致安全事件發生的可能性，如入侵檢測系統;保護性安全措施可以減少因安全事件發生后對組織或系統造成的影響。

• 6、風險分析過程

  完成上述步驟之后，將采用適當的方法與工具進行安全風險分析和計算。可以根據自身情況選擇相應的風險計算方法計算出風險值，如矩陣法或相乘法等。如果風險值在可接受的范圍內，則改風險為可接受的風險;如果風險值在可接受的范圍之外，需要采取安全措施降低控制風險。

回答所涉及的環境：聯想天逸510S、Windows 10。