本文目录
7 识别风险
接下来,对于您在前面步骤中定义的每个资产,您将需要识别风险并根据它们的严重性和脆弱性对它们进行分类。此外,您还需要确定机密性、完整性和可用性的丧失可能对资产产生的影响。
要开始识别风险,您应该首先为每个资产识别实际的或潜在的威胁和漏洞。
威胁是可能造成伤害的东西。例如,威胁可能是以下任何一种:
- 意图造成伤害或痛苦的说明
- 有可能导致不必要的事故,这可能导致对系统或组织及其资产的损害
- 有意的、意外的或人为的可能造成伤害的行为或天灾(如飓风或海啸)
漏洞是具有潜在危害的来源或情况。(例如,破碎的窗口是漏洞;它可能会引发一些潜在的伤害,比如强行闯入)
风险是特定威胁发生的可能性和严重性或频率的组合。
输入
- 在上一步中定义的资产列表
- 之前定义的风险评估方法
对于每个资产,您应该识别该资产可能存在的漏洞以及这些漏洞可能导致的威胁。成对地考虑威胁和漏洞通常是有帮助的——每个资产至少有一对,每个资产可能有多对。
输出
对于每个资产,您将有一个威胁和漏洞描述,并且使用您的风险评估方法,您将为该资产分配机密性、完整性和可用性级别。
可以将此信息添加到上一步创建的表中,如下面的案例所示。
案例
注意:在以下示例中,“风险总结”一栏描述了威胁和漏洞。“CIA说明 ”一栏对资产的机密性、完整性和可用性进行了分类。
资产 | 明细 | 所有者 | 位置 | CIA说明 | 替代价值 | 风险总结 | 风险值 | 控制 | 控制是否足够? |
| 战略信息 | 中长时期的计划 | CEO | CEO 电脑 | C:高 I:高 A:中 | 高 | 信息披露 (给予第三方优势)) | |||
| 项目计划 | 短周期的计划 | CEO | CEO 电脑 | C:高 I:高 A:低 | 中 | 信息披露(给予竞争对手优势);可能会失去生意 |
CIA - Confidentiality 机密性、Integrity 完整性、Availability 可用性
最近更新于 2022-05-22, 由 猿小六 于 2022-05-21 发布, 已阅 1257 次。