風險評估的實施過程包括資訊保安風險評估準備、資產識
別、威脅識別、脆弱性識別、已有安全措施確認和風險分析六個
階段。風險評估準備,隨後進行資產識別,威脅識別,脆弱性識別。三個識別通過後進行已有安全措施的確認,隨後進入風險分析:風險分析前準備評估過程文件,然後風險計算再準備評估過程文件。風險是否接,是的就儲存已有的控制措施,最終實施風險管理。選擇否的則要選擇適當的控制措施並評估殘餘風險,再是否接受殘餘風險,否的就再選擇適當的控制措施。接受的殘餘風險並做出評估結果文件,實施風險管理。
最重要的是懂風險評估的基本流程:資產識別(七大資產)、威脅識別、脆弱性識別、不可接受風險處理計畫
脆弱性與威脅是一對多、多對多的,就是說乙個脆弱性可能有多個威脅,一般做的時候先識別完脆弱性再對就識別威脅
資產識別小組職責:
負責資產的識別工作,並向專案負責人提交《資產識別表》、《重要資產賦值表》。
威脅識別小組職責:
負責對資產進行威脅識別工作,並向專案負責人提交《資產威脅識別表》。
脆弱性識別小組職責:
負責對資產進行脆弱性識別工作,並向專案負責人提交《脆弱性彙總表》。
風險分析小組職責:
專案負責人兼任該組組長,由專案負責人組織各相關人員,在對資產進行安全措施有效性確認的基礎上進行風險分析,形成最終的風險評估報告,並向最高管理者代表提交報告,由最高管理者代表確認。
應急響應小組職責:
負責針對風險評估過程制定應急工作預案,在出現的意外情況時進行應急響應。
資產識別
資產識別小組參考《深圳市資訊保安風險評估實施指南》分類列明評估範圍內的各項資產,對資產的重要性程度賦值,篩選出重要資產,並對重要資產的資訊保安三性(保密性、完整性、可用性)進行賦值。
主要從以下7類資產進行識別:硬體/軟體/文件和資料/業務應用/人力資源/物理環境/組織管理
實施方法主要是風險評估小組工作人員召開會議討論。
威脅識別
威脅識別小組參考《深圳市資訊保安風險評估實施指南》,分類列明重要資產可能面臨的威脅。
實施方法主要是威脅識別小組查閱防火牆和ids的日誌,並結合以往的安全事件記錄,開會討論資產面臨的威脅。
資訊保安風險評估
谷安天下 it 風險管理軟體 itrm 合作夥伴會議邀請 尊敬的閣下 您好!北京谷安天下科技 是一家專業從事it風險管理領域專業服務及產品的廠商,致力於為客戶提供全面it風險管理解決方案及專業服務。谷安天下在國內率先提出了統一it風險管理框架的思想,基於資訊保安與it風險管理領域豐富的諮詢專案經驗,...
CISP DSG 資訊保安評估
安全評估基本概念 對安全評估的理解 安全評估工作內容 安全評估的價值 風險評估工具 系統基礎平台風險評估工具 風險評估輔助工具 安全評估基礎 安全評估標準 tcsec 可信計算機系統評估標準 基本目標和要求 分級itsec 資訊科技安全評估標準 評估準則 分為6級 fc 聯邦 最低安全要求 評估準則...
常用的資訊保安風險評估自動化工具介紹
風險評估過程最常用的還是一些專用的自動化的風險評估工具,無論是商用的還是免費的,此類工具都可以有效地通過輸入資料來分析風險,最終給出對風險的評價並推薦相應的安全措施。目前常見的自動化風險評估工具包括 cramm cramm ccta risk analysis and management meth...