详细风险评估要求对资产进行详细识别和评价,对可能引起风险的威胁和弱点水平进行评估,根据风险评估的结果来识别和选择安全措施。这种评估途径集中体现了风险管理的思想,即识别资产的风险并将风险降低到可接受的水平,以此证明管理者所采用的安全控制措施是恰当的。
详细评估的优点在于:
1、***可以通过详细的风险评估而对信息安全风险有一个精i确的认识,并且准确定义出***目前的安全水平和安全需求;
2、详细评估的结果可用来管理安全变化。当然,详细的风险评估可能是非常耗费资源的过程,包括时间、精力和技术,因此,***应该仔细设定待评估的信息系统范围,明确商务环境、操作和信息资产的边界。
软件需求的调研是否深入透彻:软件的需求是确保软件正确反映用户的对软件使用的重要的文档,探讨软件需求是软件开发的起始点,但软件的需求却会贯穿整个软件的开发过程,软件管理需要对软件需求的变化进行控制和管理,一方面保证软件需求的变化不至于造软件工程的一改再改而无法按期完成;同时又要保证开发的软件能够为用户所接受。软件管理需要控制软件的每个阶段进行的成度,不能经过细造成时间的浪费,也不能过粗,造成软件缺陷。
企业风险综合评估方法。确定企业风险程度在选取企业风险评估综合评估方法时是非常重要的一个因素,这样能够确保企业运行的范围是在一个合理的风险区间内,此时评分还可根据统一标准来进行,进而使各因素之间的可比性能够显示出来,即能够将各因素风险的高低了解清楚,这样降低企业风险是有针对性的,且效果也较好。要想获取企业所面临的风险和风险的严重程度可以通过分析企业加权平均风险值来进行。判断该指标是定性指标还是定量指标可以根据企业风险评估表来进行,定性指标和定量指标综合后的得分就是标准得分,其可以帮助企业分析各项风险程度,进而将企业关键控制点找出来。
