协作的信息系统风险评估——CISRAv1.0发布已经半年多。在此期间,根据业界以及相关单位对CISRA方法的意见和建议,龍堂信息安全研究中心全体顾问对CISRAv1.0进行了相应修订。主要变更的内容包括:
为使阅读文档的人员更加清晰理解CISRA方法,对有歧意或不易理解的相关内容增加了注释、说明,以及示例;
增加了“第二部分 评估方法简介”,对目前常见的评估方法进行了简单介绍和优缺点分析;
修改了一些活动的名称,增加了一些活动,由v1.0的78个活动修改为v1.1的84个活动;
增减了一些步骤,由v1.0的216个步骤修改为v1.1的235个步骤;
将v1.0中的“A4.4 创建检查列表”、“A4.5 制定评估程序”调整为“A7.2创建检查列表”和“A7.3制定评估程序”;
对“T13:评估记录分析”的分析方法的实施过程、步骤进行了全面修改;
由于某些文档信息是在不同的任务中收集的,而在某些项目实际实施时,被评估组织要求评估小组一次性提出所有的所需文档要求,因此在“附件”中增加了“8.2 所需获得的文档信息”。
本文档为CISRA风险评估方法的介绍版本,不包含具体的实施步骤和实施过程使用的各项工作表。创建本文档目的是使得信息安全爱好人士能够对CISRA风险评估方法有个基本了解,推动信息安全行业对风险评估方法的深入研究,使得信息系统风险评估工作真正对组织信息系统的安全建设,最终对组织有所帮助。
点击下载《协作的信息系统风险评估 v1.1》(795 KB)