摘要：本文适合的阅读对象为：在组织中负责信息安全管理工作的相关人员，以及提供信息安全风险评估服务的相关咨询服务商、集成商、厂商的相关人员。对于尚不了解风险评估基本概念和方法的人员，可以先参考阅读《GB/T20984-2007信息安全风险评估规范》。

第1页:如何提高信息安全风险评估效果和效率1 第2页:如何提高信息安全风险评估效果和效率2

　　提到信息安全就必然涉及风险评估，风险评估已经成为信息安全工作的重要组成部分，也是现代信息安全理论重要基础之一。风险评估的方法有很多种，例如，定量评估、基线评估、非正式（非结构化）评估、详细评估（基于信息资产的风险评估），综合评估，等等。目前使用最为广泛的是“基于信息资产的风险评估”方法（以下简称“风险评估”），它是基于《ISO13335信息安全风险管理指南》发展起来的，我国也在此基础上制定了《GB/T20984-2007信息安全风险评估规范》，本文将仅聚焦（不涉及对于其他风险评估方法的评价）于对如何正确理解此方法、如何提高风险评估效果和效率，结合我们在咨询实践中的经验进行探讨，与大家分享我们的成果。
　　
　　本文适合的阅读对象为：在组织中负责信息安全管理工作的相关人员，以及提供信息安全风险评估服务的相关咨询服务商、集成商、厂商的相关人员。对于尚不了解风险评估基本概念和方法的人员，可以先参考阅读《GB/T20984-2007信息安全风险评估规范》。
　　
　　一、对风险评估的认识过程
　　
　　实际上，我们对风险评估的认识是经历了一个逐步深化和清晰的过程，在工作过程中也曾经有过很多的疑问，在此简单介绍一下，如果您也有过同样的经历或者正在经历这个过程，那么我想在本文下面几节所阐述的内容和观点，也许对您将有所帮助。
　　
　　我们对于风险评估的认识可以分为三个阶段：第一阶段——盲目期，在刚刚接触风险评估时，认为这个能够简单、定量的刻画评估信息安全风险的方法非常实用有效，因此在所有项目中都引导和建议客户做风险评估；第二个阶段——质疑期，随着在项目中的应用，逐渐发现了很多实际操作问题，同时也面临客户对于此方法的很多挑战，例如：资产赋值标准、风险计算方法等等，有些问题由于自己认识的不到位也无法给出合理的解释，以致对风险评估工作本身产生了质疑；第三个阶段——探索期，由于风险评估是信息安全的理论基础之一，如果没有前期的风险评估工作成果，则包括信息安全规划、安全工作落实等工作就失去了方向和依据，所以开始结合这些年在工作中遇到的问题和经验，重新对风险评估的意义、价值进行思考，对评估方法重新进行尝试和探索。
　　
　　由于受篇幅限制，本文仅进行概括性的阐述。我们在谷安天下的顾问培训班中也会进行风险评估方法论的详细讲解和探讨。
　　
　　二、信息资产与资产价值
　　
　　(1)不要把信息资产识别与组织的资产管理混为一谈
　　
　　信息资产识别和资产管理的目的和范围是不同的。组织的资产管理是站在资产财务角度来考虑的，重点在于登记、管理组织资产的财务属性，用于清算、核实组织的运行情况。而信息安全风险评估工作中的资产识别，是站在信息资产保护的视角上，来考虑信息资产的机密性、可用性、完整性受到破坏后对组织的影响。所以说，二者的关注点是截然不同的，不要试图在风险评估工作中搜集和识别所有资产管理范围内的资产及其相关属性。有些客户往往在风险评估中花了大量的工作在资产搜集上，反而忽视了对于关键信息资产风险的识别、控制与管理，实际上是舍本逐末，效果自然是事倍功半。
　　
　　(2)信息资产范围与分类。
　　
　　风险评估首要工作就是要识别信息资产。观点一：识别关键信息资产即可，尤其是第一次做风险评估时对于信息资产比较多的组织，不要试图识别所有信息资产，可以在以后的风险评估过程中逐步完善。观点二：识别信息资产时要结合组织情况，同样资产对于不同组织识别信息资产结果可能是不同。举个例子，对于一般组织投影仪完全可以不作为信息资产来识别，然而对于从事培训工作的组织来说，投影仪就可能被识别为关键信息资产。观点三：相关标准、规范对于信息资产分类和范围的定义可以参考，不要盲从。应结合组织特点制定符合组织实际情况的、可操作的信息资产分类和范围，可以在标准的基础上进行增加、对于不适用的可以删减、或对于某一资产类进行细化（细化的程度以可操作为宜，具有相同威胁和脆弱性的资产可以归为一类），等等。目的是使后续威胁、脆弱性识别与风险分析等工作得以简化和更具可操作性。
　　
　　(3)信息资产属性与分级
　　
　　在风险评估中，信息资产相对价值由机密性、完整性和可用性（CIA）的等级来确定。我们认为在CIA不足以完全体现关键信息资产价值时，可以结合实际补充相关属性，如财物价值等。在工作中经常会碰到客户问到信息资产分级是分三级、五级还是十级好？这个问题不是绝对的，对于发展中的中小组织来说，信息资产相对较少，可以采用三级分类，即高（3）、中（2）、低（1）；对于信息资产相对较多的组织，为了更细致描述资产相对价值，可以采用五级分类，即高（5）、较高（4）、中（3）、较低（2）、低（1）。总而言之，能够体现信息资产价值和方便操作的两个前提下，越简单越好（定义成十级理论上也是可以的，但基本不具备可操作性）。
　　
　　(4)信息资产价值计算
　　
　　在信息资产相对价值的评价时，首先要对信息资产的CIA属性进行赋值。在赋值过程中，可能会发现对于一些资产很难评价CIA。举个例子，对于人员类资产，评价其完整性是没有什么意义的。因此，可采用加权系数的方式，即针对CIA分别设定α、β、γ三个系数（α+β+γ=1），设定β=0、α=0.4、γ=0.6。这样做的好处是对于不适用的选型可以不予评价，同时针对不同行业、不同资产类别可以设定反映此类资产特点的CIA加权系数α、β、γ（例如：金融行业与制造业对于相同资产类别的CIA关注侧重点是不同的，硬件资产和数据资产CIA关注侧重点是不同的）。另外，针对具体算法，只要能够相对比较客观的反映出信息资产相对价值，可以采用相加、相乘、平均值等算法，然后根据资产值所在区间确定资产相对价值。
　　
　　总结来说，信息资产识别与价值评估的根本目的，是在于通过一套统一定量的方法论，来识别出组织中需要保护的信息资产，并且对其重要性进行分析，从而有的放矢的识别分析出组织中的信息安全风险。