风险评估和风险管理

信息安全方案 南瓜一族 230℃ 0评论

0x01 评估流程

0x02 识别资产和相关区域

1、 风险评估的第一步是定义范围,并在范围内识别所有信息资产。信息资产包括数据、软件、人员、实物和服务五大类。
2、 进行业务流程的梳理工作,根据部门职责梳理相应的流程,并汇总。
3、 根据流程中所涉及到的内容,根据五类资产的分类,识别资产。
4、 对每一个资产依据其CIA三个角度,确定资产的价值,每个角度,并根据公式计算出其重要性

0x03 选出重要资产

1、 每个部门根据自己选出的资产,透过头脑风暴的形式选出部门的重要资产,选择重要资产的依据是:
A. 同类型的资产
B. 资产的CIA值
C. 面临的风险是相似的
D. 资产是否具有代表性
2、 汇总各个部门的重点资产,再站在宏观的角度,根据以上方法选出公司级别的重要核心资产。

0x04 针对重要资产识别所有弱点

1、 弱点是指资产本身的可被利用的弱点。
2、 识别弱点可透过资产的特性来进行。

0x05 分析弱点

1、 针对不同的资产类别对应不同类别的弱点。
2、 根据其弱点一旦被威胁利用所带来的影响分析其弱点值,弱点值定义如下:

0x06 识别所有威胁

1、 威胁利用资产的弱点,对资产带来潜在危险。威胁可以是意外产生的、也可以是人为故意的。
2、 识别威胁的来源,威胁来源是指对资产带来潜在危险的任何情况和事件。
3、 对识别出的重要资产逐个进行威胁识别。
4、 针对不同类别的弱点会对应不同类别的威胁。

0x07 分析威胁

1、 辨别所有可能对资产带来影响的威胁。
2、 针对人员的威胁,应该考虑其背后的能力和资源的要求。
3、 根据威胁发生的概率来确定其威胁值:

0x08 分析现有的控制措施

1、 识别现有的控制措施。
2、 分析控制措施是否可以降低威胁发生的可能性和威胁带来的影响。
3、 控制措施包括技术和管理方面的。技术措施包括硬件、软件、加密设备等。管理措施包括策略、标准、操作程序、人员安全等。

0x09 确定风险

1、 总结前几个阶段的结果,确定风险包括以下三个因素:
A. 根据资产的重要性(A)
B. 威胁利用漏洞而造成损害的可能性(B)
C. 影响信息机密性、完整性和可用性的严重程度(C)
2、 根据此公式风险=A×B×C,计算出最终的风险。

0x10 确定安全基线

1、 根据风险评估的结果,由工作委员会确定安全基线。最终由工作委员会确定安全基线值。

0x11 风险处理

1、 比较每个资产的风险优先级和安全基线,对超过安全基线的资产进行风险管理处理。
2、 采取控制措施,将风险降低到安全基线以下。控制措施的选择应该包括以下考虑因素:
A. – 控制措施的安全性、有效性和稳定性
B. – 控制措施的代价和带来的效益
C. – 法律法规的要求
D. – 公司的安全策略
E. – 日常运行和操作的影响
3、 工作委员会经过头脑风暴的形式对采取措施后的残余风险进行评估,确保残余风险降低到可接受的安全基线一下,如果残余风险仍高于可接受水平,工作委员会需要对此做出解释。
4、 经过工作委员会评估,无残余风险高于可接受水平,因此不需要另做解释。

转载请注明:猫头鹰工作室 » 风险评估和风险管理

喜欢 (0)or分享 (0)
发表我的评论
取消评论

表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址