要设计一套简单实用的企业信息安全风险评估体系,则需要在风险评估体系设计过程中,特别注重以下原则:
(1) 做到将企业动态风险同静态风险相结合以及企业不同层次的综合风险与业务操作风险评估相结合,此外还要注重企业信息安全风险评估工作的全面性和效益性。
(2)企业面临的ISO27001信息安全风险结构十分复杂,因此尽量保证风险类型全面且风险标志具备代表性,要尽量把企业会面临到的所有重要风险因素都加入到风险评估模型当中。
(3)企业中肯定会存在大量的难以量化的风险因素,因此在信息安全风险评估模型的设计中,要尽量对所有风险因素都进行量化,以确保评估结果的准确性。
