风险评估方式之检查评估
2018-04-03 11:35:29 | 来源:中培企业IT培训网
2)检查评估
由被评估组织的上级主管机关或业务主管机关发起的,依据国家有关法规与标准,对信息系统及其管理进行的具有强制性的检查活动。
检查评估可依据相关标准的要求,实施完整的风险评估过程。检查评估也可在自评估实施的基础上,对关键环节或重点内容实施抽样评估,包括以下内容(但不仅限于):自评估队伍及技术人员审查、自评估方法的检查、自评估过程控制与文档记录检查、自评估资产列表审查、自评估威胁列表审查、自评估脆弱性列表审查、现有安全措施有效性检查、自评估结果审查与采取相应措施的跟踪检查、自评估技术技能限制未完成项目的检查评估、上级关注或要求的关键环节和重点内容的检查评估、软硬件维护制度及实施管理的检查及突发事件应对措施的检查。
检查评估也可委托风险评估服务技术支持方实施,但评估结果仅对检查评估的发起单位负责。由于检查评估代表了主管机关,涉及评估对象也往往较多,因此,要对实施检查评估机构的资质进行严格管理。
- 上一篇:风险评估方式之自评估
- 下一篇:风险评估的常用方法一