信息安全风险评估
信息安全
安全风险
风险评估
01 基础概念
信息安全风险:人为或自然的威胁利用信息安全及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。
信息安全风险评估:依据有关信息安全技术与管理标准,对信息安全及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。
02 风险评估驱动力
03 风险管理
它以可以接受的代价识别、控制、最小化或者避免影响信息系统安全风险的过程。
04 风险要素关系
05 风险分析原理
• 风险值取决于两个因素,安全事件发生的可能性、造成的损失;
• 事件发生的可能性由威胁的严重程度、威胁利用脆弱性的难易程度决定;
• 事件造成的损失由业务和资产价值、脆弱性严重程度决定;
• 对业务、资产、威胁、脆弱性(与已有安全控制措施关联分析)识别并赋值。
06 风险评估流程
07 生命周期风险评估
规划阶段目标:识别系统的业务战略,以支撑系统的安全需求及安全战略。
规划阶段评估重点:1、本阶段不需要识别资产和脆弱性;2、应根据被评估对象的应用对象、应用环境、业务状况、操作要求等方面识别威胁;
设计阶段目标:评估安全设计方案是否满足系统安全功能的需求。
设计阶段评估重点:
1.以安全建设方案评审的方式进行;
2.重点分析来自物理环境和自然的威胁,以及由于内外部入侵造成的威胁;
3.技术实现以及人员、组织管理等方面的脆弱性识别;
4.系统开发方法的选择;
实施阶段目标:对系统开发、实施过程进行风险识别,对建成后的系统安全功能进行验证。
实施阶段评估重点:已识别的安全威胁进一步细分;评估安全措施的实现程度;对系统的开发与技术/产品获取、系统交付实施进行评估。
运行阶段目标:了解和控制运行过程中的安全风险(较全面)。
运行阶段评估重点:战略评估、业务评估、资产评估、威胁评估、脆弱性评估、风险分析、定期或发生重大变更时开展。
废弃阶段目标:对废弃资产对组织的影响进行分析。
废弃阶段评估重点:对废弃资产对组织的影响进行分析,并根据不同的影响制定不同的处理方式。
(文章来源:安全架构)
-- END --
咨询热线:18358509111 运营中心:400-675-8118
E-mail:wangan@wonsec.com 邮政编码:312000
地址:浙江省绍兴市柯桥区齐贤街道柯桥经济技术开发区西环路586号科创大厦A座507-508
版权所有 Copyright ©2019-2020 浙江望安科技有限公司 网络备案号:浙ICP备19042838号-1