由于信息系统的复杂性,要进行一次完整的风险评估是困难的。一次完整的风险评估要涉及组织的很多部门和不同部门的相关人员,其中需要大量的协调工作,因此,风险评估的准备活动是很重要的。
一)得到高层管理者的支持
信息安全活动需要相关的财力和人力支持。相关技术负责人员往往出于对相关责任的推卸,并不支持风险评估活动,甚至可能会故意隐瞒系统潜在的问题,搪塞相关人员的面谈或者在内部讨论会的过程中采取消极发言。管理层必须以明示的方式表明对评估活动的支持,并对资源调配作出承诺。
二)确定风险评估的范围
建立一个合适的工作边界,可以提高工作的效率,并且避免了很多不必要的工作。一个没有边界的系统,很难被评估。
确立了清晰的评估边界,就相当于是规定了对风险评估小组的授权范围,并且提供了进行评估的必要信息,例如硬件、软件、人员和基础设施等。评估的范围可能是单个系统或者是多个关联的系统,对于关联的系统要特别注意相互之间的接口的描述。
风险评估范围的描述最简单的方法是按照业务系统,因为业务系统一般都是既定的,不会产生很大的分歧。信息系统的物理边界元素包括我们常见的信息资产,如工作站、服务器、网络设备、线路、外设、建筑物和建筑物内独立的房间等。在网络环境下,可能逻辑位置和逻辑边界比物理位置和物理边界的描述更为重要。