三)组建风险评估核心小组
在组建风险评估核心小组时,其成员不应该仅仅来自于技术部门。无论小组成员对于风险评估的流程是否熟悉,都应该进行适当的培训,以对本次评估的起因和流程达成一致的认识。
第一次风险评估活动最好由外部组织指导完成,这样可以使风险评估可以在较高的水平开始运转。人员的选择上,可以考虑风险评估的专家级人物、本单位的技术专家、其它体系负责人等。
四)动员全体员工
管理层的支持不但意味着财力和人力的分配,并且包括对员工思想上的动员。没有全员参与的过程,可能使风险评估活动成为“走形式,走过场”。
五)制定工作计划
对于进行一次完整的风险评估需要的时间没有严格的规定,一般情况下,时间的安排与组织的规模有很大的联系。对于工作计划和项目进度控制,可以采用组织内成熟的项目管理经验。例如使用甘特图等。
六)准备各种可能的工具
风险评估工具和漏洞扫描工具仅仅就是选择的过程。其中,前者不是必须的工具,因为目前依赖于工具的评估还不占主流。但是漏洞扫描工具应该是必须的。在这个步骤中,最重要的是准备各种要用的调查表和问卷等。这些表单可以是:组织的基本情况调查表、资产信息采集与评估表、资产及其评估汇总表、威胁信息采集表、威胁汇总表、文档评审表、管理脆弱性采集表、技术脆弱性采集表、脆弱性汇总表、人员访谈提纲、主机检查表等。
