风险评估

方法培训：基于标准将评估流程、评估范围确定下来，并预先将评估中的评估方法与标准进行统一。

风险评估参考标准：

ISO 27001、GBT 20984、谷安天下信息安全最佳实践

管风险评估特性：

信息安全风险汇总库

为什么做风险评估，意义何在？

资产识别，资产价值相同，归为统一类别 安全组，

普通 员工资产和领导资产不一样，

公式法，都属于定性风险评估，

规划：怎么去做，做什么事情 ？

什么是安全架构 ？有什么意义？

短期达不到，未来两到三年达到，

现实有很多问题，未来要达到目标，

现实和未来有 很大差距，

将存在问题分类，分成不同项目群，

做任务排序--确定先后顺序，要有方法，为什么，凭什么，

价值高，风险小，先做，

制定评价指标，实施难易程度，

具体情况具体分析，

给客户做了一个三年的规划，工作任务，

安全蓝图，

任务的目标是什么，牵头是谁？应对风险有什么风险措施，

更详细的做专项规划，技术优势是什么，怎么部署，

针对 客户比较关注点在哪，

适用性声明，来阐述内容，

能落地的越简单越好，

规划文件体系清单，按27001，14个安全领域，

以客户视角，怎么开展工作，

按部门角度来规划，组织结构 不一样，

现实条件，企业文化，

二级某某文件，

三级，满足要求怎么去做，

四级：记录表彰，和三级配套使用，

一定和客户讨论，沟通确认好，

咨询顾问不能单独确认，

相关格式，要求，

客户自己来写是好的，把安全控制 要求，关键控制要求，客户来写，我们提供指导，

不要期望一闪把体系文件写得多么完美，体系文件也要随环境变化 ，做更新，

多长时间，多大精力，容易疲劳

发布体系，要让大家都知道，按要求去做，通过一个渠道，发布到相关部门，

为资产编制清单

基于不同层面的风险评估

价值高风险小的项目优先做

任务8学到27：00