风险评估方案如何建立有效合理的风险评估体系

风险评估方案  时间:2021-09-28  阅读:()

如何建立有效合理的风险评估体系

风险评估注意事项 在风险评估过程中,有几个关键的问题需要考虑: 1、要确定保护的对象(或者资产)是什么?它的直接和间接价值如何? 2、资产面临哪些潜在威胁?导致威胁的问题所在?威胁发生的可能性有多大? 3、资产中存在哪些弱点可能会被威胁所利用?利用的容易程度又如何? 4、一旦威胁事件发生,组织会遭受怎样的损失或者面临怎样的负面影响? 5、组织应该采取怎样的安全措施才能将风险带来的损失降低到最低程度? 解决以上问题的过程,就是风险评估的过程。

进行风险评估时,有几个对应关系必须考虑: 1、每项资产可能面临多种威胁 2、威胁源(威胁代理)可能不止一个 3、每种威胁可能利用一个或多个弱点 风险评估的任务 1、识别评估对象面临的各种风险 2、评估风险概率和可能带来的负面影响 3、确定组织承受风险的能力 4、确定风险消减和控制的优先等级 5、推荐风险消减对策 风险评估途径选择 风险评估的操作范围可以是整个组织,也可以是组织中的某一部门,或者独立的信息系统、特定系统组件和服务。

影响风险评估进展的某些因素,包括评估时间、力度、展开幅度和深度,都应与组织的环境和安全要求相符合。

组织应该针对不同的情况来选择恰当的风险评估途径。

实际工作中经常使用的风险评估途径包括基线评估、详细评估和组合评估三种。

一、基线 如果组织的商业运作不是很复杂,并且组织对信息处理和网络的依赖程度不是很高,或者组织信息系统多采用普遍且标准化的模式,基线风险评估(Baseline Risk Assessment)就可以直接而简单地实现基本的安全水平。

采用基线风险评估,组织根据自己的实际情况(所在行业、业务环境与性质等),对信息系统进行安全基线检查,得出基本的安全需求,通过选择并实施标准的安全措施来消减和控制风险。

所谓的安全基线,是在诸多标准规范中规定的一组安全控制措施或者惯例,这些措施和惯例适用于特定环境下的所有系统,可以满足基本的安全需求,能使系统达到一定的安全防护水平。

二、详细风险评估 详细风险评估要求对资产进行详细识别和评价,对可能引起风险的威胁和弱点水平进行评估,根据风险评估的结果来识别和选择安全措施。

这种评估途径集中体现了风险管理的思想,即识别资产的风险并将风险降低到可接受的水平,以此证明管理者所采用的安全控制措施是恰当的。

1、风险识别 “风险识别”(risk identification)是发现、承认和描述风险的过程。

风险识别包括对风险源、风险事件、风险原因及其潜在后果的识别。

风险识别包括历史数据、理论分析、有见识的意见、专家的意见,以及利益相关方的需求。

2、风险评价 “风险评价”(risk evaluation)是把风险分析的结果与风险准则相比较,以决定风险和/或其大小是否可接受或可容忍的过程。

正确的风险评价有助于组织对风险应对的决策。

三、组合评估 基线风险评估耗费资源少、周期短、操作简单,但不够准确,适合一般环境的评估;详细风险评估准确而细致,但耗费资源较多,适合严格限定边界的较小范围内的评估。

基于在实践当中,组织多是采用二者结合的组合评估方式。

为了决定选择哪种风险评估途径,组织首先对所有的系统进行一次初步的高级风险评估,着眼于信息系统的商务价值和可能面临的风险,识别出组织内具有高风险的或者对其商务运作极为关键的信息资产(或系统),这些资产或系统应该划入详细风险评估的范围,而其他系统则可以通过基线风险评估直接选择安全措施。

这种评估途径将基线和详细风险评估的优势结合起来,既节省了评估所耗费的资源,又能确保获得一个全面系统的评估结果,而且,组织的资源和资金能够应用到最能发挥作用的地方,具有高风险的信息系统能够被预先关注。

当然,组合评估也有缺点:如果初步的高级风险评估不够准确,某些本来需要详细评估的系统也许会被忽略,最终导致结果失准。

可以关注一下 北京蓝海智能 这个公众号,学习更多专业的风险管理知识

提速啦 韩国服务器 E3 16G 3IP 450元/月 韩国站群服务器 E3 16G 253IP 1100元/月

提速啦(www.tisula.com)是赣州王成璟网络科技有限公司旗下云服务器品牌,目前拥有在籍员工40人左右,社保在籍员工30人+,是正规的国内拥有IDC ICP ISP CDN 云牌照资质商家,2018-2021年连续4年获得CTG机房顶级金牌代理商荣誉 2021年赣州市于都县创业大赛三等奖,2020年于都电子商务示范企业,2021年于都县电子商务融合推广大使。资源优势介绍:Ceranetwo...

提速啦(24元/月)河南BGP云服务器活动 买一年送一年4核 4G 5M

提速啦的来历提速啦是 网站 本着“良心 便宜 稳定”的初衷 为小白用户避免被坑 由赣州王成璟网络科技有限公司旗下赣州提速啦网络科技有限公司运营 投资1000万人民币 在美国Cera 香港CTG 香港Cera 国内 杭州 宿迁 浙江 赣州 南昌 大连 辽宁 扬州 等地区建立数据中心 正规持有IDC ISP CDN 云牌照 公司。公司购买产品支持3天内退款 超过3天步退款政策。提速啦的市场定位提速啦主...

HostMem,最新优惠促销,全场75折优惠,大硬盘VPS特价优惠,美国洛杉矶QuadraNet机房,KVM虚拟架构,KVM虚拟架构,2核2G内存240GB SSD,100Mbps带宽,27美元/年

HostMem近日发布了最新的优惠消息,全场云服务器产品一律75折优惠,美国洛杉矶QuadraNet机房,基于KVM虚拟架构,2核心2G内存240G SSD固态硬盘100Mbps带宽4TB流量,27美元/年,线路方面电信CN2 GT,联通CU移动CM,有需要美国大硬盘VPS云服务器的朋友可以关注一下。HostMem怎么样?HostMem服务器好不好?HostMem值不值得购买?HostMem是一家...

风险评估方案为你推荐
手机软件开发教程来个人帮忙下啊手游架设了怎么才能手机玩北京移动官网北京移动网上营业厅神州行套餐修改上海长宽上海电信,与长宽有什么区别,现在有几种网络宽带,怎么申请csol进不去csol为什么总是进不去云龙数码芜湖云龙数码怎么样?会不会私自更换手机配件?web移动端开发web移动端开发要具备哪些知识?广州全网推广广州有哪些网络推广公司?fusioninsight什么是MAYA FUSION?怎么又跑出来一个DFusion?两者什么区别?app测试项目app开发中测试的工作主要内容是什么郑州网站托管郑州网店托管公司哪家好
域名服务器 子域名查询 深圳域名空间 淘宝二级域名 php探针 北京双线机房 丽萨 lick 下载速度测试 服务器维护 中国电信网络测速 中国电信测速网站 工信部网站备案查询 lamp架构 阿里云邮箱登陆地址 杭州电信宽带优惠 镇江高防 可外链的相册 789电视剧网 免备案jsp空间 更多