如果组织的商业运作不是很复杂,并且组织对信息处理和网络的依赖程度不是很高,或者组织信息系统多采用普遍且标准化的模式,基线风险评估(BaselineRisk Assessment)就可以直接而简单地实现基本的安全水平,并且满足组织及其商业环境的所有要求。
采用基线风险评估,组织根据自己的实际情况(所在行业、业务环境与性质等),对信息系统进行安全基线检查(拿现有的安全措施与安全基线规定的措施进行比较,找出其中的差距),得出基本的安全需求,通过选择并实施标准的安全措施来消减和控制风险。所谓的安全基线,是在诸多标准规范中规定的一组安全控制措施或者惯例,这些措施和惯例适用于特定环境下的所有系统,可以满足基本的安全需求,能使系统达到yi定的安全防护水平。组织可以根据以下资源来选择安全基线:
项目背景分析及规划
主要包括:1、项目背景。 2、项目建设规划。 3、主要产品和产量。 4、工艺技术方案。
外部环境分析
主要包括:1、外部一般环境(PEST)分析。 2、产业分析。
市场需求预测
主要包括:1、国外市场需求预测。 2、需求状况分析。
内部分析
主要包括:1、项目地理位置分析。 2、资源和技术。3、项目之 SWOT 分析。4、项目竞争战略的选择。
财务评价
主要包括:1、评价方法的选择及依据。2、项目投资估算。3、产品成本及费用估算。4、产品销售收入及税金估算。5、利润及分配。6、财务盈利能力分析。7、项目盈亏平衡分析。8、财务评价分析结论。
价值分析判断
主要包括:价值判断方法的选择,价值评估。
行业标准或推荐
来自其他有类似商务目标和规模的组织的惯例。
当然,如果环境和商务目标较为典型,组织也可以自行建立基线。
基线评估的优点是需要的资源少,周期短,操作简单,对于环境相似且安全需求相当的诸多组织,基线评估显然是经济有效的风险评估途径。当然,项目资金投入及稳定回报论证报告,基线评估也有其难以避免的缺点,比如基线水平的高低难以设定,如果过高,可能导致资源浪费和限制过度,如果过低,可能难以达到充分的安全,此外,在管理安全相关的变化方面,基线评估比较困难。
基线评估的目标是建立一套满足信息安全基本目标的zui小的对策集合,它可以在全组织范围内实行,如果有特殊需要,应该在此基础上,对特定系统进行更详细的评估。
合肥项目资金投入及稳定回报论证报告-中乾晟数据由南京中乾晟数据分析有限公司提供。南京中乾晟数据分析有限公司为客户提供“项目未来收益报告,偿债能力评级报告,并购估值,风险规避评估”等业务,公司拥有“中乾晟”等品牌,专注于咨询、调研等行业。,在江苏省南京市建邺区嘉陵江东街50号康缘智慧港A栋2006的名声不错。欢迎来电垂询,联系人:左经理。