风险评估方案如何建立有效合理的风险评估体系

风险评估方案  时间:2021-09-28  阅读:()

如何建立有效合理的风险评估体系

风险评估注意事项 在风险评估过程中,有几个关键的问题需要考虑: 1、要确定保护的对象(或者资产)是什么?它的直接和间接价值如何? 2、资产面临哪些潜在威胁?导致威胁的问题所在?威胁发生的可能性有多大? 3、资产中存在哪些弱点可能会被威胁所利用?利用的容易程度又如何? 4、一旦威胁事件发生,组织会遭受怎样的损失或者面临怎样的负面影响? 5、组织应该采取怎样的安全措施才能将风险带来的损失降低到最低程度? 解决以上问题的过程,就是风险评估的过程。

进行风险评估时,有几个对应关系必须考虑: 1、每项资产可能面临多种威胁 2、威胁源(威胁代理)可能不止一个 3、每种威胁可能利用一个或多个弱点 风险评估的任务 1、识别评估对象面临的各种风险 2、评估风险概率和可能带来的负面影响 3、确定组织承受风险的能力 4、确定风险消减和控制的优先等级 5、推荐风险消减对策 风险评估途径选择 风险评估的操作范围可以是整个组织,也可以是组织中的某一部门,或者独立的信息系统、特定系统组件和服务。

影响风险评估进展的某些因素,包括评估时间、力度、展开幅度和深度,都应与组织的环境和安全要求相符合。

组织应该针对不同的情况来选择恰当的风险评估途径。

实际工作中经常使用的风险评估途径包括基线评估、详细评估和组合评估三种。

一、基线 如果组织的商业运作不是很复杂,并且组织对信息处理和网络的依赖程度不是很高,或者组织信息系统多采用普遍且标准化的模式,基线风险评估(Baseline Risk Assessment)就可以直接而简单地实现基本的安全水平。

采用基线风险评估,组织根据自己的实际情况(所在行业、业务环境与性质等),对信息系统进行安全基线检查,得出基本的安全需求,通过选择并实施标准的安全措施来消减和控制风险。

所谓的安全基线,是在诸多标准规范中规定的一组安全控制措施或者惯例,这些措施和惯例适用于特定环境下的所有系统,可以满足基本的安全需求,能使系统达到一定的安全防护水平。

二、详细风险评估 详细风险评估要求对资产进行详细识别和评价,对可能引起风险的威胁和弱点水平进行评估,根据风险评估的结果来识别和选择安全措施。

这种评估途径集中体现了风险管理的思想,即识别资产的风险并将风险降低到可接受的水平,以此证明管理者所采用的安全控制措施是恰当的。

1、风险识别 “风险识别”(risk identification)是发现、承认和描述风险的过程。

风险识别包括对风险源、风险事件、风险原因及其潜在后果的识别。

风险识别包括历史数据、理论分析、有见识的意见、专家的意见,以及利益相关方的需求。

2、风险评价 “风险评价”(risk evaluation)是把风险分析的结果与风险准则相比较,以决定风险和/或其大小是否可接受或可容忍的过程。

正确的风险评价有助于组织对风险应对的决策。

三、组合评估 基线风险评估耗费资源少、周期短、操作简单,但不够准确,适合一般环境的评估;详细风险评估准确而细致,但耗费资源较多,适合严格限定边界的较小范围内的评估。

基于在实践当中,组织多是采用二者结合的组合评估方式。

为了决定选择哪种风险评估途径,组织首先对所有的系统进行一次初步的高级风险评估,着眼于信息系统的商务价值和可能面临的风险,识别出组织内具有高风险的或者对其商务运作极为关键的信息资产(或系统),这些资产或系统应该划入详细风险评估的范围,而其他系统则可以通过基线风险评估直接选择安全措施。

这种评估途径将基线和详细风险评估的优势结合起来,既节省了评估所耗费的资源,又能确保获得一个全面系统的评估结果,而且,组织的资源和资金能够应用到最能发挥作用的地方,具有高风险的信息系统能够被预先关注。

当然,组合评估也有缺点:如果初步的高级风险评估不够准确,某些本来需要详细评估的系统也许会被忽略,最终导致结果失准。

可以关注一下 北京蓝海智能 这个公众号,学习更多专业的风险管理知识

ZJI:香港物理服务器,2*E5-2630L/32G/480G SSD/30Mbps/2IP/香港BGP,月付520元

zji怎么样?zji是一家老牌国人主机商家,公司开办在香港,这个平台主要销售独立服务器业务,和hostkvm是同一样,两个平台销售的产品类别不一平,商家的技术非常不错,机器非常稳定。昨天收到商家的优惠推送,目前针对香港邦联四型推出了65折优惠BGP线路服务器,性价比非常不错,有需要香港独立服务器的朋友可以入手,非常适合做站。zji优惠码:月付/年付优惠码:zji 物理服务器/VDS/虚拟主机空间订...

VirtVPS抗投诉瑞士VPS上线10美元/月

专心做抗投诉服务器的VirtVPS上线瑞士机房,看中的就是瑞士对隐私的保护,有需要欧洲抗投诉VPS的朋友不要错过了。VirtVPS这次上新的瑞士服务器采用E-2276G处理器,Windows/Linux操作系统可选。VirtVPS成立于2018年,主营荷兰、芬兰、德国、英国机房的离岸虚拟主机托管、VPS、独立服务器、游戏服务器和外汇服务器业务。VirtVPS 提供世界上最全面的安全、完全受保护和私...

UCloud年度大促活动可选香港云服务器低至年134元

由于行业需求和自媒体的倾向问题,对于我们个人站长建站的方向还是有一些需要改变的。传统的个人网站建站内容方向可能会因为自媒体的分流导致个人网站很多行业不再成为流量的主导。于是我们很多个人网站都在想办法进行重新更换行业,包括前几天也有和网友在考虑是不是换个其他行业做做。这不有重新注册域名重新更换。鉴于快速上手的考虑还是采用香港服务器,这不腾讯云和阿里云早已不是新账户,考虑到新注册UCLOUD账户还算比...

风险评估方案为你推荐
移动互联什么是移动互联网医药管理系统药品进销存管理软件用哪个好?红杉树视频会议有哪些品牌的视频会议系统?张北论坛在北京上班,周六日想出去玩,想去草原玩,跟北京那个团比较好,既便宜又划算?高人指点,急!3g安全网联通3g 手机接入点设置3gwap上网快,还是设置3gnet上网快???点到直线的距离公式点到直线的距离公式是什么怎么运用,求举下例子或题型象形文字图片象形字有哪些?湖北文理学院地址湖北文理学院教课办在哪数据挖掘的应用近年来哪些因素促进了数据挖掘的广泛应用中山大学南校区地址中山大学 南校区 在哪里?怎么来黄村地铁站?
海外域名 美国加州vps 免费申请域名和空间 cn域名个人注册 香港vps99idc webhostingpad 精品网 香港托管 流媒体服务器 godaddy续费优惠码 轻量 主机合租 国外在线代理 asp免费空间申请 100m独享 cn3 web服务器安全 空间登入 smtp服务器地址 php服务器 更多