企業如何進行安全評估

1.制定評估計劃

安全評估的第一步是確定各種各樣的評估內容,包括物理的、邏輯的、管理和組織因素等，有時可能包括外部服務，如軟件開發合司商，IT外包商等。一旦確定了評審的域和范圍，就需要制訂一個監視各項設備和人員的計劃。一般來說，這需要召集一個由安全人員組成的評審小組。如有必要，可以包括別的部門經驗豐富的專家和顧問。也要為此評審制定目標日程和預算，并確定以哪種方式將結果匯報給管理層或指定的部門主管。

2.收集信息

有經驗的信息安全人員知道所有組織在進行危險和薄弱環節評估之前，一定安全預防水平下應該采用的許多控制和做法。但他們也應了解現有的安全狀況，企業單位希望的安全性的大小和類型，以及基本控制未包括的特殊危險和薄弱環節。他們了解的大部分內容應該是組織中已經發生過的損失，員工對危險和薄國環節的看法，以及需要保護的信息與設備。信息人員通過閱讀企業的文件，采訪相關人員、觀察和測試環境與系統來收集這些信息。

當宣布評審后，就可以開始確定和收集研究用的相關文件，其中包括安全政策和標準,使用的表格。組織圖表,現有指令,信息系統和服務指南，外部資源合同.指導方針和手冊等等。近期的審計報告對確定安全問題特別有價值，因為評審也需要考慮現有的安全控制，所以應當為正在使用的控制列個清單，這將作為改善和確定新控制的出發點。

檢測設備可以檢查出設備的物理和邏輯安全性,也可以幫助了解企業的安全政策。識別易受損失的資產很重要，如計算機硬件和軟件、通信和運輸設施等等,最重要的是組織的信息。信息包括各種類型，在每次評估時，應該時刻確定信息所在的位置和企業的應用程序。提供的服務等內容，只需鑒別這些資產，判斯它們的價值是否重要及是否必須包括在評估中就可以了。

3.選擇控制對象

收集完信息之后需要對結果進行分析，確定基本細致工作的安全改革方法和新的特殊控制對象及來源于推薦目標的控制。選擇特殊控制或何時推薦基本控制是相似的，審查所有收集到的信息以辨別危險和薄草環節。對所有需要解決的信息安全危險和薄潤環節，要按照11個步驟進行分析，應當將所有11個步驟應用在一個或更多個描述危險、薄強環節及損失事件中。

一步一步按照特定的順序執行這11個步驟:

1)避免。在考慮控制之前，先消除危險或刪除受危險影響的信息。

2)威脅。阻止一些人產生非法企圖。

3)預防。阻止有害事件發生,發出警報并記錄。

4)檢查。觀察異常情況，發出警報并記錄。

5 )減少。防御襲擊。發出警報井記錄，破少損失至最低水平或防止損失發生。

6)移交。委派合適的組織處理事件。

7)調查。找出原因,查明有問題的一方。

8)處罰或獎勵。處罰或獎勵相應的當事人。

9)恢復。重建成賠償損失。

10)糾正。根據需要招待或完善前9步的行動，以防止類似事件發生。

11)教育。記錄在案并從事件中總結經驗教訓。

4.推薦控制

如果確定了適于減少危險的控制和方法，從而改善安全控制，并達到了細致工作標準后,應該審視現有的評估結果,做了必要修改后，可以提交給管理層，最終報告通常包括六個方面:

• 執行總結

• 最初的評估計劃

• 項目的進展過程

• 組織相對于他人的基本細致工作狀況

• 結論、建議和相對費用估計

• 確定優先級的實施計劃

5.實施控制

實施計劃要包括一些細節， 如實施時間，實施方式，實施人員等等。

實施過程通常需要一個基礎廣泛的團隊，由信息安全專家實施一般適用的控制，由組織內單個的信息擁有者和系統管理實施當地控制。需要說明的是，實施過程所需的時間通常很長。

回答所涉及的環境：聯想天逸510S、Windows 10。