服务项目 |
信息安全风险评估 |
面向地区 |
信息安全风险评估是什么?
信息安全风险管理依据等级保护的思想和适度安全的原则,平衡成本与效益,合理部署和利用信息安全的信任体系、监控体系和应急处理等重要的基础设施,确定合适的安全措施,从而确保机构具有完成其使命的信息安全保障能力。
信息安全风险评估的概念涉及资产、威胁、脆弱性和风险4个主要因素。
信息安全风险评估:识别、评估与应对策略:
根据GB/T 20984-2022《信息安全技术 信息安全风险评估方法》,风险评估基本要素包括资产、威胁、脆弱性和安全措施并基于以上要素开展风险评估。
1.资产识别
资产识别是风险评估的核心环节。资产按照层次可划分为业务资产、系统资产、系统组件和单元资产。因此资产识别应从三个层次进行识别。
2.威胁识别
威胁识别的内容包括威胁的来源、主体、种类、动机、时机和频率
3.脆弱性识别
如果脆弱性没有对应的威胁,则无需实施控制措施,但应注意并监视他们是否发生变化。相反,如果威胁没有对应的脆弱性,也不会导致风险。应注意,控制措施的不合理实施、控制措施故障或控制措施的误用本身也是脆弱性。控制措施因其运行的环境,可能有效或无效。脆弱性可从技术和管理两个方面进行审视。技术脆弱性涉及 IT 环境的物理层、网络层、系统层应用层等各个层面的安全问题或隐患。管理脆弱性又可分为技术管理脆弱性和组织管理脆弱性两方面,前者与具体技术活动相关,后者与管理环境相关。
4.风险分析
组织应在风险识别基础上开展风险分析,风险分析应:a)根据威胁的能力和频率,以及脆弱性被利用难易程度,计算安全事件发生的可能性;b)根据安全事件造成的影响程度和资产价值,计算安全事件发生后对评估对象造成的损失;c)根据安全事件发生的可能性以及安全事件发生后造成的损失,计算系统资产面临的风险值;d)根据业务所涵盖的系统资产风险值综合计算得出业务风险值。
最近来访记录
