风险评估
?从信息安全运维的角度来讲,风险评估是对运维过
程中组织结构、人员行为、安全策略、安全设施、运维平台和运维活动等涉及的资产所面临的威胁、存在的弱点、造成的影响,以及三者综合作用所带来风险的可能性的评估。?主要任务
?识别评估对象面临的各种风险?评估风险概率和可能带来的负面影响?确定组织承受风险的能力?确定风险消减和控制的优先等级?推荐风险消减对策
中国信息安全认证中心信息安全保障人员认证
风险评估步骤
?风险识别,风险识别是指查找和梳理企业运维过程中组织
结构、人员行为、安全策略、安全设施、运维平台和运维活动等有无安全风险,有哪些安全风险及威胁。
?风险分析,风险分析是对识别出的风险及其特征进行明确的定义描述,分析和描述风险发生可能性的高低、风险发生的条件。
?风险评价,风险评价是评估风险对企业实现安全运维目标的影响程度、风险的价值等。
中国信息安全认证中心信息安全保障人员认证
风险评估方法
?无论何种方法,共同的目标都是找出组织信息资产面临的
????
风险及其影响,以及目前安全运维水平与组织安全需求之间的差距。
基于知识的分析方法基于模型的分析方法定性分析定量分析
中国信息安全认证中心信息安全保障人员认证
基于知识的分析方法
?经验方法
?采集评估信息
?对当前的信息安全策略和文档进行复查?会议讨论?问卷调查?人员访谈?实地考察?辅助性工具Cobra
中国信息安全认证中心信息安全保障人员认证
基于模型的分析方法
?利用数学模型进行风险分析?识别风险?分析风险?评价风险?处理风险
中国信息安全认证中心信息安全保障人员认证
相关推荐:
loading