由 猿小六 接下来,对于您在前面步骤中定义的每个资产,您将需要识别风险并根据它们的严重性和脆弱性对它们进行分类。此外,您还需要确定机密性、完整性和可用性的丧失可能对资产产生的影响。
要开始识别风险,您应该首先为每个资产识别实际的或潜在的威胁和漏洞。
威胁是可能造成伤害的东西。例如,威胁可能是以下任何一种:
- 意图造成伤害或痛苦的说明
- 有可能导致不必要的事故,这可能导致对系统或组织及其资产的损害
- 有意的、意外的或人为的可能造成伤害的行为或天灾(如飓风或海啸)
漏洞是具有潜在危害的来源或情况。(例如,破碎的窗口是漏洞;它可能会引发一些潜在的伤害,比如强行闯入)
风险是特定威胁发生的可能性和严重性或频率的组合。
输入
- 在上一步中定义的资产列表
- 之前定义的风险评估方法
对于每个资产,您应该识别该资产可能存在的漏洞以及这些漏洞可能导致的威胁。成对地考虑威胁和漏洞通常是有帮助的——每个资产至少有一对,每个资产可能有多对。
输出
对于每个资产,您将有一个威胁和漏洞描述,并且使用您的风险评估方法,您将为该资产分配机密性、完整性和可用性级别。
可以将此信息添加到上一步创建的表中,如下面的案例所示。
案例
注意:在以下示例中,“风险总结”一栏描述了威胁和漏洞。“CIA说明 ”一栏对资产的机密性、完整性和可用性进行了分类。
|
资产
|
明细
|
所有者
|
位置
|
CIA说明
|
替代价值
|
风险总结
|
风险值
|
控制
|
控制是否足够?
|
| 战略信息 | 中长时期的计划 | CEO | CEO 电脑 | C:高 I:高 A:中 |
高 | 信息披露 (给予第三方优势)) | |||
| 项目计划 | 短周期的计划 | CEO | CEO 电脑 | C:高 I:高 A:低 |
中 | 信息披露(给予竞争对手优势);可能会失去生意 |
CIA – Confidentiality 机密性、Integrity 完整性、Availability 可用性