软件运维风险评估流程包括风险评估准备、资产识别、威胁分析、脆弱性识别、风险评估计算、风险处理验证等。
软件运维风险评估准备
软件运维风险评估准备主要包括以下内容。
1.确定评估目标
根据满足组织业务持续发展在运维方面的需要、法律法规的规定等内容,识别被评估软件及软件运维管理上的不足,以及可能造成的风险大小。
2.确定评估范围
风险评估范围可能是组织全部的信息及与信息处理相关的各类资产、管理机构,也可能是某个独立的信息系统应用软件、关键业务流程、与客户知识产权相关的系统或部门等。
3.组建评估团队
风险评估实施团队,可邀请第三方评估机构组成风险评估小组。评估实施团队应做好评估前的表格、文档、检测工具等各项准备工作,进行风险评估技术培训和保密教育,制定风险评估过程管理相关规定。
4.系统调研
系统调研是确定被评估对象的过程,风险评估小组应进行充分的系统调研,为风险评估依据和方法的选择、评估内容的实施奠定基础。调研内容至少应包括:
1)业务战略及管理制度
2)主要的业务功能和要求
3)网络结构与网络环境,包括内部连接和外部连接;
4)系统边界;
5)主要的硬件、软件;
6)数据和信息;
7)系统和数据的敏感性;
8)支持和使用系统的人员;
9)其他。
系统调研可以采取问卷调查、现场面谈相结合的方式进行。调查问卷是提供一套关于管理或操作控制的问题表格,供系统技术或管理人员填写;现场面谈则是由评估人员到现场观察并收集系统在物理、环境和操作方面的信息。
5.评估方案设计
风险评估方案的目的是为了后面的风险评估实施活动提供一个总体计划,用于指导实施方开展后续工作。风险评估方案的内容一般包括(但不仅限于):
1)团队组织:包括评估团队成员、组织结构、角色、责任等内容;
2)工作计划:风险评估各阶段的工作计划,包括工作内容、工作形式、工作成果等内容;
3)时间进度安排:项目实施的时间进度安排。
6.评估项目启动
上述所有内容确定后,应形成较为完整的风险评估实施方案,得到支持、批准;对管理层和技术人员进行传达,在组织范围就风险评估相关内容进行培训,以明确有关人员在风险评估中的任务。
