建立HTP的步骤

　　（一）在充分理解组织业务目标、组织文件及信息安全的条件下，通过ISO13335的风险分析的方法，通过建立组织的信息安全基线(Security Baseline),可以对组织的安全的现状有一个清晰的了解，并可以为以后进行安全控制绩效分析提供一个评价基础。

　　1．理解组织业务与组织文化

　　充分了解组织业务是设计安全方案的前提，只有了解组织业务，才能发现并分析组织业务所处的风险环境，并在此基础上提出可能的安全保障措施；只有了解组织业务，才可能定义出合理的安全投资规模和计划；只有了解组织业务，才能制定出合理的安全政策和制度。

　　对组织业务的了解，包括对其业务内容、性质、目标及其价值进行分析，在信息安全中，业务一般是以资产形式表现出来，它包括信息/数据、软/硬件、无形资产、人员及其能力等。安全风险管理理论认为，对业务资产的适度保护对业务的成功至关重要。要实现对业务资产的有效保护，必须要对资产有很清晰的了解。

　　对组织文化及员工状况的了解有助于知道组织中员工的安全意识、心理状况和行为状况，为制定合理的安全政策打下基础。

　　2．评估用户组织风险环境

　　ISO/IEC TR 13335-1把风险的定义为特定的威胁利用资产的一种或一组薄弱点，导致资产的丢失或损害的潜在可能性。风险评估是对信息和信息处理设施的威胁、影响和薄弱点及三者发生的可能性评估，即利用适当的风险评估工具、包括定性与定量的方法，确定资产风险等级和优先控制顺序。

上一页  [1] [2] [3] [4]  下一页