信息安全等级保护风险评估的主要任务是评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合资产价值来判断安全事件一旦发生对组织造成的影响,进而为应如何进一步强化安全控制措施提供依据及建议。
信息安全风险评估是“对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。
其中最关键的4个过程就是资产识别、威胁识别、脆弱性识别和风险分析:
1)资产识别:首先是依据业务流程列出信息资产清单,包括:数据与文档、书面文件、软件、硬件、人员、服务等;然后对资产重要性进行量化,量化时应考虑的角度包括:资产损失可能对业务活动造成的影响、将信息资产恢复到正常状态所付出的代价、在公众形象和名誉上的损失、资产采购价值、对保密性/完整性/可用性的影响等多个方面。具体量化的的数值可以是1~5,也可以是1~100等,具体依赖于后面要讲到的风险计算方法。
2)威胁识别:是指对组织需要保护的每一项信息资产面临的威胁进行分析,应具体考虑每一项特定资产所处的环境条件以及以前遭受威胁损害的情况,应该指出的是,一项资产可能会有多个威胁。
3)脆弱性识别:是指全面评估信息资产由于由于缺乏充分的安全控制,自身存在的可能被威胁所利用的薄弱点。脆弱性识别将针对每一项信息资产,找出每一种威胁所能利用的薄弱点(脆弱性)、分析每一个脆弱性被特定威胁所利用的可能性、并分析每一个脆弱性一旦被特定威胁利用,对该资产造成的损失严重程度。
4)风险计算:即采用一种选定的计算方法对信息资产的风险进行量化计算。风险值的量化计算方法可以由评估者自主选定,国家标准中并没有规定必须采用哪种方法,常见的风险计算方法包括矩阵法和相乘法,简单的讲矩阵法就是根据资产的多个维度的属性在一个2维或多维矩阵中选择对应的风险值,而相乘法就是基于一个特定的函数,以资产的不同属性为变量计算风险值,“相乘”是函数关系的一般化表述,最简单的函数即多个变量的直接代数相乘。
最后,依据风险分析的结果得到各个资产的风险值,根据风险值的高低和种类以及提出合理的安全控制措施,具体包括接受现有风险、基于各种方法转移风险(如商业保险等)、采取措施降低或消除风险(如安全漏洞加固等)。
但应该指出的是:风险控制措施的选择是一种费用与风险的平衡,即风险要降低的越低,需要投入越高的费用(或资源),信息安全风险不可能完全消除,要做的是投入可接受的资源将风险降低到合理的程度。
TOP云提供云平台用户与各省市等级保护测评机构的沟通渠道,促成用户与测评机构等级保护测评合作关系,并对测评机构提供的等级保护测评活动进行服务质量监督,帮助云平台用户的信息系统完成等级保护测评工作。
等保测评业务链接 https://www.zuntop.com/?web/dengbao/
我们何其幸运!这个世界上竟然还有几乎完全支持FP编程的流行语言,这种语言就是St...
技术一号位系列文章介绍 研发人员经过一段时间的成长和积累 3-5年 往往需要带领...
1.保护自己,爱护他人,请不要半夜出来吓人 2.格式化自己,只为删除你。 3.知...
介绍常见的安全组配置示例。如下示例中,出方向默认全通,仅介绍入方向规则配置...
云虚拟主机 怎样选择操作系统?云 虚拟主机 也就是我们平常说的虚拟主机,只不过...
今天小编无意间看到报道:一枚 英文域名 CrosswordPuzzles.com出现在海外DN交易...
TOP云 (west.cn)3月15日消息,近日抠抠集团宣布正式启用抠抠网新 域名 oomall....
哪里可以免费申请二级 域名 ?申请免费的二级域名,通常先有顶级域名(一级域名...
01 大数据概念 数据发展推动科技进步,海量数据给数据分析带来了新的机遇和挑战...
简介 ES10是ECMA协会在2019年6月发行的一个版本,因为是ECMAScript的第十个版本...