风险评估程序有哪些

 我来答
周律师普法课堂
2022-12-19 · 超过1209用户采纳过TA的回答
知道大有可为答主
回答量:4404
采纳率:80%
帮助的人:83.8万
展开全部

网络安全风险评估的过程主要分为:风险评估准备、资产识别过程、威胁识别过程、脆弱性识别过程、已有安全措施确认和风险分析过程。

1、风险评估准备

该阶段的主要任务是制定评估工作计划,包括评估目标、评估范围、制定安全风险评估工作方案。根据评估工作需要,组件评估团队,明确各方责任。

2、资产识别过程

资产识别主要通过向被评估方发放资产调卜旁查表来完成。在识别资产时,以被评估方提供的资产清单为依据,对重要和关键资产进行标注,对评估范围内的资产详细分类。根据资产的表现形式,可将资产分为数据、软件、硬件、服务和人员等类型。

根据资产在保密性、完整性和可用性上的不同要求,对资产进行保密性赋值、完整性赋值、可用性赋值和资产重要程度赋值。

3、威胁识别过程

在威胁评估阶段评估人员结合当前常见的人为威胁、其可能动机、可利用的弱点、可能的攻击方法和造成的后果进行威胁源的识别。威胁识别完成后还应该对威胁发生的可能性进行评估,列出为威胁清单,描述威胁属性,并对威胁出现的频率赋值。

4、脆弱性识别过程

脆弱性分为管理脆弱性和技术脆弱性。管理脆弱性主要通过发放管理脆弱性调查问卷、访谈以及手机分析现有的管理制度来完成;技术脆弱性主要借助专业的脆弱性检测工具和对评估范围内的各种软硬件安全配置进行检查来识别。脆弱性识别完成之后,要对具体资产的脆弱性严重程度进行赋值,数值越大,脆弱性严重程度越高。

5、已有安全措施确认

安全措施可以分为预防性安全措施和保护性安全措施两种。预防性安全措施可以降低威胁利用脆弱性导致安全事件发生的可能性,如入侵检测系统;保护性安全措施可以减少因安全事件发生后对组织或系统造成的影响。

6、风险分析过程

完成上述步骤之后,将采用适当的方法与工具进行安全风险分析和计算。可以根据自伍码身情况选择相应的风险计算方法计算出风险值,如矩阵法或相乘法等。如果风险值在可接受的范围内,则改风险为腔弊哪可接受的风险;如果风险值在可接受的范围之外,需要采取安全措施降低控制风险。

推荐律师服务: 若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
您可能需要的服务
百度律临官方认证律师咨询
平均3分钟响应 | 问题解决率99% | 24小时在线
立即免费咨询律师
15850人正在获得一对一解答
济南夏日炎炎4分钟前提交了问题
上海旋风骑士2分钟前提交了问题
石家庄麦田守望1分钟前提交了问题
下载百度知道APP,抢鲜体验
使用百度知道APP,立即抢鲜体验。你的手机镜头里或许有别人想知道的答案。
扫描二维码下载
×

类别

我们会通过消息、邮箱等方式尽快将举报结果通知您。

说明

0/200

提交
取消
还有疑问? 马上咨询39841位在线律师,3分钟快速解答
立即免费咨询律师

辅 助

模 式