03信息安全风险评估
关于信息安全风险评估
关于信息安全风险评估
信息安全风险评估是指对组织的信息系统和数据资产进行全面的评估和分析,确定潜在的安全威胁和风险,并采取相应的控制措施来减轻和管理这些风险。
信息安全风险评估通常包括以下几个步骤:
1. 确定资产:确定组织的重要信息系统和数据资产,包括硬件、软件、网络设备、数据库、敏感数据等。
2. 识别威胁:分析各种可能的威胁和攻击方式,如黑客攻击、病毒感染、内部威胁等。
3. 评估风险:评估每种威胁对组织信息资产的潜在影响和可能性,确定其风险等级。
4. 确定控制措施:根据评估结果,确定恰当的控制措施来减轻和管理风险,包括技术控制措施(如防火墙、入侵检测系统)、组织控制措施(如安全策略、流程和培训)以及法规合规控制措施。
5. 评估控制效果:评估已实施的控制措施对风险的减轻效果,确定是否需要进一步改进和加强控制。
6. 编制报告和建议:总结评估结果,撰写详细的报告并提出相应的建议,帮助组织制定有效的信息安全管理计划。
信息安全风险评估是信息安全管理的重要组成部分,通过综合
分析和评估风险,帮助组织更好地理解和应对安全威胁,提高信息资产的安全性和可靠性。
信息安全技术—信息安全风险评估方法
信息安全技术—信息安全风险评估方法下载温馨提示:该文档是我店铺精心编制而成,希望大家下载以后,能够帮助大家解决实际的问题。
文档下载后可定制随意修改,请根据实际需要进行相应的调整和使用,谢谢!并且,本店铺为大家提供各种各样类型的实用资料,如教育随笔、日记赏析、句子摘抄、古诗大全、经典美文、话题作文、工作总结、词语解析、文案摘录、其他资料等等,如想了解不同资料格式和写法,敬请关注!Download tips: This document is carefully compiled by the editor. I hope that after you download them, they can help you solve practical problems. The document can be customized and modified after downloading, please adjust and use it according to actual needs, thank you!In addition, our shop provides you with various types of practical materials, such as educational essays, diary appreciation, sentence excerpts, ancient poems, classic articles, topic composition, work summary, word parsing, copy excerpts, other materials and so on, want to know different data formats and writing methods, please pay attention!信息安全风险评估是信息安全管理体系中的重要环节,在数字化时代,各种信息系统和网络设备的不断发展,也给信息安全带来了更多的挑战。
信息安全风险评估三级
信息安全风险评估三级1. 概述信息安全风险评估是指对组织内部和外部的信息系统进行全面评估,识别潜在的信息安全风险,并提供相应的控制措施和管理建议。
本文将介绍信息安全风险评估的三个级别,包括基础级、中级和高级。
每个级别都有不同的目标、方法和结果。
2. 基础级信息安全风险评估2.1 目标基础级信息安全风险评估主要针对组织内部的基本信息系统进行评估,旨在发现常见的安全漏洞和弱点,为组织提供改进信息安全措施的建议。
2.2 方法基础级信息安全风险评估通常采用以下方法:•安全策略和规程审查:审查组织已有的安全策略和规程是否符合最佳实践,并提出改进建议。
•系统配置审计:检查组织内部系统是否按照最佳实践进行配置,并发现可能存在的配置错误。
•漏洞扫描:利用自动化工具扫描网络设备和系统,发现已知的安全漏洞。
•弱口令扫描:检查组织内部系统的用户账户和密码是否存在弱口令,提供改进建议。
•物理安全审计:检查组织内部的物理安全措施,包括门禁、监控等,发现潜在的物理安全风险。
2.3 结果基础级信息安全风险评估的结果包括以下方面:•安全策略和规程改进建议:根据审查结果提供改进建议,帮助组织完善安全策略和规程。
•系统配置错误报告:列出系统配置中存在的错误,并提供修复建议。
•漏洞扫描报告:列出网络设备和系统中存在的已知漏洞,并建议相应的补丁或修复措施。
•弱口令报告:列出存在弱口令的用户账户,并提供修改密码或增强口令策略等建议。
•物理安全审计报告:列出物理安全措施中存在的问题,并提供改进建议。
3. 中级信息安全风险评估3.1 目标中级信息安全风险评估主要针对组织内外的关键信息系统进行评估,旨在发现高级的安全漏洞和威胁,为组织提供更加深入的安全改进建议。
3.2 方法中级信息安全风险评估通常采用以下方法:•渗透测试:模拟真实攻击者的行为,尝试获取非法访问组织内部系统的权限,并发现可能存在的漏洞。
•社会工程学测试:通过欺骗、诱导等手段测试组织内部员工对于安全意识和规程的遵守情况。
信息安全风险评估三级
信息安全风险评估三级
(原创版)
目录
一、信息安全风险评估概述
二、信息安全风险评估的三个级别
三、一级信息安全风险评估
四、二级信息安全风险评估
五、三级信息安全风险评估
六、总结
正文
信息安全风险评估是信息安全管理的重要组成部分,通过对信息系统的脆弱性、威胁和风险进行评估,以确定信息系统的安全性。
信息安全风险评估分为三个级别,分别为一级、二级和三级。
一级信息安全风险评估主要针对基本的信息系统,评估范围相对较小,主要关注系统的可用性和完整性。
这一级别的评估主要通过问卷调查、检查表和现场考察等方式进行,以了解信息系统的基本情况,发现潜在的安全风险。
二级信息安全风险评估针对的是较为复杂的信息系统,评估范围相对较广,关注系统的可用性、完整性和保密性。
这一级别的评估需要对信息系统的各个方面进行深入分析,以识别系统的弱点和潜在威胁,为制定安全策略提供依据。
三级信息安全风险评估则是针对关键信息系统和涉及国家安全的信
息系统进行的评估。
这一级别的评估具有更高的要求和标准,需要对信息系统的各个方面进行全面、深入的分析,以确保信息系统的安全性。
三级评估涉及的方面包括系统的可用性、完整性、保密性和抗干扰能力等。
总之,信息安全风险评估是信息安全管理的重要手段,通过对信息系统的脆弱性、威胁和风险进行评估,以确保信息系统的安全性。
信息安全风险评估分为三个级别,分别为一级、二级和三级,不同级别的评估具有不同的要求和目标。
信息安全风险评估包括哪些
信息安全风险评估包括哪些信息安全风险评估是指对信息系统中的潜在威胁进行客观和系统化的识别、分析和评价的过程。
通过对信息系统的风险进行评估和分析,能够帮助组织了解自身的安全现状,制定相应的安全措施和策略,以保证组织的信息安全。
信息安全风险评估包括以下几个方面:1. 资产评估:评估信息系统中的各类资产,包括硬件设备、软件应用、数据、网络设备等。
通过对这些资产的评估,确定哪些资产对组织的业务运作具有重要性,需要特别保护和重点关注。
2. 威胁评估:评估信息系统面临的潜在威胁和攻击方式。
通过分析各种威胁的来源、特征、攻击手段和影响,识别哪些威胁可能对信息系统的安全造成威胁,并评估其对组织业务的潜在损害。
3. 脆弱性评估:评估信息系统中的存在的脆弱性和漏洞。
通过分析系统的配置、补丁管理、口令管理等方面,发现可能被攻击者利用的漏洞和脆弱点,识别系统中潜在的风险。
4. 风险评估:通过对资产、威胁和脆弱性的评估,综合分析和量化风险的可能性和影响。
通过风险评估,识别和排序系统中的潜在风险,确定哪些风险具有较高的优先级,需要优先采取措施加以防范。
5. 对策评估:评估组织已有的安全控制措施和防御机制,分析其对系统当前面临的风险的有效性和适用性。
通过对策评估,发现安全控制措施的不足之处,并对其进行改进,提高组织的信息安全防护能力。
6. 风险管理计划:根据风险评估结果,制定信息安全风险管理计划,确定相应的风险管理策略和措施,明确各项安全控制的实施责任和时间表,以确保组织的信息系统安全管理工作的持续有效进行。
综上所述,信息安全风险评估是一个综合性的过程,通过对资产、威胁、脆弱性和对策的评估,识别和分析信息系统面临的风险,并制定相应的风险管理计划,以帮助组织建立起有效的信息安全管理体系,保护组织的信息系统和数据的安全。
信息安全的风险评估
信息安全的风险评估
信息安全的风险评估是指对信息系统或网络环境中的风险进行系统化的评估与分析,以确定对信息安全造成威胁的因素、可能遭受到的攻击类型以及可能导致的损失,为制定有效的安全措施和决策提供依据。
信息安全的风险评估可以按照以下步骤进行:
1. 资产识别和分类:识别和分类重要的信息资产,例如数据、系统、网络、设备等。
2. 威胁辨识:分析与确认可能的威胁来源和攻击方法,例如网络攻击、恶意软件、社会工程等。
3. 脆弱性评估:评估系统和网络存在的漏洞和弱点,即脆弱性,例如安全配置问题、未修补的漏洞等。
4. 风险分析:结合资产识别、威胁辨识和脆弱性评估的结果,评估潜在威胁和漏洞对信息安全造成的风险程度。
5. 风险评估:根据风险分析的结果,对风险进行量化评估或定性评估,确定风险的等级和优先级。
6. 风险管理:根据风险评估的结果,制定针对性的安全措施和策略,包括风险的接受、缓解、转移或避免。
7. 监测与更新:持续监测信息安全状况,及时更新风险评估和
管理策略,以适应不断变化的威胁环境。
通过信息安全的风险评估,组织能够识别和评估潜在的风险,制定相应的风险管理措施,提升信息系统和网络的安全性,保护重要的信息资产免受攻击和损失。
信息安全风险评估分
信息安全风险评估分
信息安全风险评估分为以下几个方面:
1. 威胁评估:对可能存在的威胁进行分析,包括内部威胁和外部威胁。
内部威胁可以是员工的不当操作或恶意行为,外部威胁可以是黑客攻击、病毒入侵等。
2. 漏洞评估:对系统和网络的漏洞进行评估,找到安全漏洞和弱点。
包括应用程序的漏洞、系统配置的漏洞等。
3. 业务影响评估:评估信息安全风险对业务的影响程度,包括数据泄露、系统中断、业务中断等。
4. 安全控制评估:评估当前的安全控制措施的有效性和合理性。
确定是否需要增加或改变安全控制措施。
5. 风险评估:对上述评估结果进行综合分析,给出风险等级和优先级。
确定哪些风险最为关键,需要优先处理。
6. 对策评估:评估各种可能的对策,包括技术对策和管理对策。
确定最合适的对策措施,以降低风险。
7. 监测评估:建立风险监测和预警机制,对信息安全风险进行持续评估和监测,及时预警和应对可能的风险事件。
信息安全风险评估内容与实施流程
信息安全风险评估内容与实施流程一、信息安全风险评估的内容1.收集信息:首先,需要收集组织内部和外部的相关信息,包括组织的业务流程、信息系统的结构和功能、数据的类型和价值、已实施的安全措施等。
2.风险识别:通过对收集到的信息进行分析和评估,确定可能存在的安全威胁、漏洞和潜在风险。
这包括对系统和数据的物理安全、网络安全、人员安全和操作安全等方面的评估。
3.风险分析:对识别到的潜在风险进行分析,评估其对组织的影响和可能导致的损失。
这可以通过定量和定性的方法来评估风险的概率和影响程度,比如使用风险矩阵或统计数据等。
4.风险评估:将分析的结果综合考虑,对每个潜在风险进行评估,确定其优先级和重要性。
这可以根据组织的业务需求和资源可用性来确定,以帮助决策者进行风险管理决策。
5.建议措施:基于评估的结果,提出相应的安全改进建议和措施,包括技术和管理层面的。
这些措施应该能够减轻潜在风险的影响,并提高组织的信息安全水平。
6.风险管理计划:根据评估结果和建议措施,制定风险管理计划,明确具体的实施步骤、责任人和时间表。
这可以帮助组织有效地管理和控制风险,确保信息系统的安全性和可用性。
二、信息安全风险评估的实施流程1.确定评估目标和范围:首先,明确评估的目标和范围,确定需要评估的信息系统和数据,以及评估的时间和资源限制等。
2.收集信息:收集组织内部和外部的相关信息,包括业务流程、系统和数据的结构和功能、已实施的安全措施等。
这可以通过文件和访谈等方式进行。
3.风险识别:对收集到的信息进行分析和评估,识别可能存在的安全威胁、漏洞和风险。
这可以使用安全评估工具和技术,如漏洞扫描和威胁建模等。
4.风险分析:对识别到的潜在风险进行分析,评估其对组织的影响和可能导致的损失。
可以使用定量和定性的方法,如风险矩阵和统计数据等。
5.风险评估:综合分析的结果,对每个潜在风险进行评估,确定其优先级和重要性。
这可以根据组织的需求和资源可用性来确定。
信息安全风险评估定义
信息安全风险评估定义
信息安全风险评估是指评估和分析一个组织或系统所面临的潜在信息安全威胁和风险的过程。
这个过程包括识别、评估和排序各种潜在的风险,以确定其对组织或系统安全的影响和潜在的严重程度。
信息安全风险评估的目的是为了帮助组织或系统确定哪些潜在威胁和漏洞可能会导致安全事件,并确定适当的安全措施来降低风险。
评估通常包括对组织或系统的资产、威胁、弱点和安全控制措施进行调查,以确定可能的安全风险。
评估中使用的方法和工具可以包括安全漏洞扫描、渗透测试、威胁建模和风险评估矩阵等。
评估的结果通常以风险评级或潜在影响的形式呈现,以便组织或系统能够优先处理和管理风险。
信息安全风险评估是一个连续的过程,随着组织或系统的变化和发展,评估也需要不断更新和重新评估。
这有助于保持对潜在威胁和风险的实时了解,并确保组织或系统的信息安全能够跟上不断变化的威胁环境。
信息安全风险评估方案
信息安全风险评估方案信息安全风险评估是企业信息安全管理的重要环节,通过对信息系统和数据进行全面、系统的评估,可以及时发现潜在的安全风险,并制定相应的风险应对措施,保障信息系统的安全稳定运行。
本文将介绍信息安全风险评估的基本概念、方法和步骤,帮助企业建立健全的信息安全风险评估方案。
一、信息安全风险评估的基本概念。
信息安全风险评估是指对信息系统和数据进行全面、系统的评估,识别和分析可能存在的安全风险,包括技术风险、管理风险和运营风险等,以确定风险的概率和影响程度,并提出相应的风险控制措施。
通过信息安全风险评估,可以帮助企业全面了解信息系统的安全状况,及时发现潜在的安全隐患,减少信息安全事件的发生。
二、信息安全风险评估的方法。
信息安全风险评估的方法主要包括定性评估和定量评估两种。
定性评估是通过专家讨论、问卷调查、风险矩阵等方法,对信息系统的安全风险进行主观判断和分析,确定风险的等级和优先级;定量评估则是通过数据统计、模型计算等方法,对信息系统的安全风险进行客观量化分析,确定风险的具体数值和概率。
企业可以根据自身的实际情况,选择合适的评估方法,进行信息安全风险评估。
三、信息安全风险评估的步骤。
信息安全风险评估的步骤主要包括风险识别、风险分析、风险评估和风险控制四个阶段。
首先,企业需要对信息系统和数据进行全面的调查和分析,识别可能存在的安全风险;然后,对识别出的安全风险进行深入分析,确定风险的概率和影响程度;接下来,对风险进行综合评估,确定风险的等级和优先级;最后,制定相应的风险控制措施,对风险进行有效管理和控制。
通过这些步骤,企业可以全面了解信息系统的安全状况,及时发现和应对潜在的安全风险。
四、信息安全风险评估的实施。
信息安全风险评估的实施需要全员参与,包括企业领导、信息安全管理人员、技术人员和用户等。
企业领导需要高度重视信息安全风险评估工作,提供必要的支持和资源;信息安全管理人员需要制定详细的评估计划和方案,组织实施评估工作;技术人员需要全面了解信息系统的安全状况,提供必要的技术支持;用户需要配合评估工作,提供真实的使用情况和反馈意见。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
管理或商业信誉、形象直接产生不良影响3、本部 门认为可重要信息资产
1、产生或保存企业秘密信息的人员
2、本部门认为可重要信息资产
1、影响业务流程的关键服务
2、本部门认为重要信息资产
2、2重要信息资产进行CIAB赋值计算;
薄弱点
利用薄弱点障点
未被授权的用户进行网 络访问
通信服务故障
系统访问和开发安全
薄弱点
利用薄弱点的威胁
复杂的用户界面
员工操作错误
离开计算机没有注销 软件被未授权的用户进 行使用
未控制下载和使用软件
恶意软件
缺乏密码管理
用户身份伪装
有关实物和环境安全方面的薄弱点
软件和系统:应用软件,系统软件,开发工具和实用程序; 硬件和设施:计算机和通信设备,磁质媒体(磁带和磁盘),其他的
技术型设备(电源,空调),家具,处所; 人力资源:涉密和特殊人员; 服务:计算和通信服务、公共服务例如供暖、照明、供电、空气调节
等。
怎样才能确保识别全部重要信息资产?
为了明确被保护的信息资产,组织应列出与信息 安全有关的资产清单,对每一项资产进行确认和 适当的评估。
要素及相关的属性 : 资产、威胁、脆弱性、安全措施 、业务战
略、资产价值、安全需求、安全事件、残余风险 。
风险评估要素关系图
脆弱性
利用
威胁
演变
安全事件
暴露 增加
增加
可能诱发
业务战略
依赖
资产
未被满足
风险
抵御
残余风险
具有
导出 降低
未控制
资产价值
成本
安全需求
被满足
安全措施
风险各要素之间关系
业务战略的实现对资产具有依赖性,依赖程度越高,要求其风险 越小;
利用薄弱点的威胁
故意破坏
盗窃 洪水 盗窃 维护错误
存储媒体的老化 空气中的颗粒/灰尘
极端温度(高温或低温) 电压波动
在进行风险评估时,应考虑以下对应关系
每一项资产可能面临多个威胁;
威胁的来源可能不只一个,应从人员(包括内部 与外部)、环境(如自然灾害)、资产本身(如 设备故障)等方面加以考虑;
存储媒体未经授权的使用
软件的非法进/出口
软件被未经授权的用户使用
软件的非法使用
软件以一种未经许可的方法使用
工业活动
用户错误
闪电
故意破坏
通信电缆损坏
资源滥用
威胁例子
1、文档和数据(请举例) 2、软件和系统(请举例) 3、硬件和设施(请举例) 4、人力资源(请举例)
威胁识别与评价
文件服务器
1、按照分类,识别信息资产; 2、信息资产初步评估;评估出重要信息资产;
重要信息资产进行CIAB赋值计算; 3、重要信息资产面临威胁的识别与评价; 4、重要信息资产自身脆弱性的识别与评价; 5、现有安全控制措施的确认; 6、可能性评价 7、后果评价 8、风险评价及风险等级的确定; 9、控制措施选择实施; 10、残余风险评价; 11、残余风险接受批准。--最高管理者
典型薄弱点
薄弱点(Vulnerability):是指资产或资产组中能被威胁利用的弱点。威胁 是利用薄弱点而对资产或组织造成损害的。典型的薄弱点有:
1、物理保护措施的缺乏或不适当:举例来说,门窗保护不当,可能因为盗 窃危及到信息的保密性、完整性和可用性。
2、密码的错误选择和应用:可能导致未经授权访问密码保护的系统中的信 息,因此危及到信息的保密性、完整性和可用性。
资产是有价值的,组织的业务战略对资产的依赖程度越高,资产 价值就越大;
风险是由威胁引发的,资产面临的威胁越多则风险越大,并可能 演变成为安全事件;
资产的脆弱性可能暴露资产的价值,资产具有的脆弱性越多则风 险越大;
脆弱性是未被满足的安全需求,威胁利用脆弱性危害资产; 风险的存在及对风险的认识导出安全需求; 安全需求可通过安全措施得以满足,需要结合资产价值考虑实施
威胁识别与评价
文件服务器面临的威胁: 系统管理员权限滥用 未经授权访问、修改 容量超载 密钥泄露、篡改
威胁发生的可能性分析
确定威胁发生的可能性是风险评估的重要环节,组织应根据经验和/或有关 的统计数据来判断威胁发生的频率或者威胁发生的概率。威胁发生的 可能性受下列因素的影响:
现有控制措施 薄弱点
威胁识别与评价
网络组件的故障?????????????????? 盗窃
电力供应故障???????????????????? 飓风
水供应故障?????????????????????? 通信量超载
火灾 ???????????????????????????传输错误
洪水
软件未经授权的使用
硬件故障
威胁发生的可能性大小可以采取分级赋值的方法予以确定,例如:将可能性 分为5个等级:
注:威胁事件发生的可能性大小与威胁事件发生的条件是密切相关的,例 如消防管理好的部门发生火灾的可能性要比消防管理差的部门发生火 灾的可能性要小.
影响威胁发生的可能性的因素
威胁识别过程中,应根据资产所处的环境条件和资产以前遭受 威胁损害的情况来判断,一项资产可能面临着多个威胁,同样 一个威胁可能对不同的资产造成影响。确定威胁发生的可能性 是风险评估的重要环节,应根据经验和有关的统计数据来判断 威胁发生的频率或者威胁发生的概率。威胁发生的可能性受下 列因素的影响: 资产的吸引力(适用有预谋的威胁); 资产转化成金钱的容易程度(适用有预谋的威胁); 威胁的技术含量(适用有预谋的威胁); 威胁发生的概率(适用偶然事件); 薄弱点被利用的难易程度(无论是技术薄弱点还是非技术薄弱点 都适用)。
风险评估
上海天帷企业管理咨询有限公司
Tanovo Management Consultation Co.,ltd. 2006年04月
风险管理
[ISO Guide 73:2002]
风险管理:
指导和控制组织风险的协调活动
注:风险管理活动一般包括风险评估、风险
处理、风险接受和风险沟通。
现在流行的管理体系都存在风险管理
1、质量管理体系:质量风险-FMEA 2、环境管理体系:环境污染和能源过度使用带
来的风险-环境因素识别评价 3、职业健康安全管理体系:危险源对人身和业
务过程带来的风险-危险源识别评价 4、信息安全管理体系:信息资产对业务过程带
来的风险-信息资产识别评价
风险管理的目的
1、降低或避免风险对公司业务的影响,将损失 降到最低;
下面是一个威胁列表:
空气中的悬浮颗粒/灰尘
空调故障
电子邮件炸弹
通信侵入
维护错误 恶意软件 用户身份的伪装 信息路径错误或路径变更
威胁识别与评价
存储媒体的老化 地震 偷听 环境污染 极端的温度和湿度 通信服务故障
被未经授权的网络访问 操作人员的错误 供电波动 否定或抵赖 软件故障 员工短缺
1、资产识别
为了明确被保护的信息资产,应列出与信息安全有关的资产清单,对每一项 资产进行确认和适当的评估。为了防止资产被忽视或遗忘,在识别资 产之前应确定风险评估范围。所有在评估范围之内的资产都应该被识 别,根据公司的业务流程和部门区域来识别信息资产。在进行资产识 别时,应考虑以下几方面分类:
文档与数据:数据库和数据文件,系统文件,用户手册,培训资料, 运作和支持程序,持续性计划,应急安排;合同,方针,企业文件, 保持重要商业结果的文件;包括纸张和电子格式。
评价威胁分级标准
等级 1 2 3 4 5
说明 极低 低 中 高 极高
发生可能性 ≤1次/3年 ≤1次/半年 ≥1次/半年 ≥1次/月 ≥1次/周
4、脆弱性识别与评价
由于缺乏充分的安全控制,组织需要保护的信息 资产或系统存在着可能被威胁所利用的弱点,这 些弱点可能来自组织结构、人员、管理、程序、 资产本身的缺陷等。组织应针对每一项需要保护 的信息资产,找出每一种威胁所能利用的薄弱点, 并对薄弱点的严重性进行评价,换句话说,就是 对薄弱点被威胁利用的可能性进行评价,可以采 用分级赋值的方法。
重要资产判断准则
分类
判断准则
文档和数据 软件和系统 硬件和设施
人力资源
服务
1、属于企业机密2、被修改、不正当使用或缺失 对公司活动及管理或商业信誉、形象直接产生不 良影响3、本部门认为可重要信息资产
1、属于企业秘密的程序2、如果被修改或失 效对公司活动及管理或商业信誉、形象直接产生
不良影响3、本部门认为可重要信息资产
信息安全风险评估就是从风险管理角度,运 用科学的方法和手段,系统地分析信息系统 所面临的威胁及其存在的脆弱性,评估安全 事件一旦发生可能造成的危害程度,提出有 针对性的抵御威胁的防护对策和整改措施; 为防范和化解信息安全风险,将风险控制在 可接受的水平,从而最大限度地保障信息安 全提供科学依据。
风险评估的要素
在初步列出重要信息资产后,应对每项资产赋予价值。 影响资产价值四要素:C I A B
保密性、可用性、完整性、与业务的相关性 一些信息资产的价值是有时效性的,例如新产品数据
在产品面市之前是高度机密的。
资产价值≠资产经济价值
3、威胁的识别与评价;
对需要保护的每一项关键信息资产进行威胁识别。在威胁识别过程中,应根据 资产所处的环境条件和资产以前遭受威胁损害的情况来判断,一项资产可能面 临着多个威胁,同样一个威胁可能对不同的资产造成影响。威胁识别应确认威 胁由谁或什么事物引发以及威胁影响的资产。威胁可能来源于意外的,或有预 谋的事件。用于威胁评估的信息能够从信息安全管理的有关人员,以及相关的 商业过程中获得,这些人可能是人事部的职员,设备策划和IT专家,也包括组 织内部负责安全的人员。