由 猿小六 在您确定了风险以及机密性、完整性和可用性级别之后,您将需要为风险分配风险值。
这些值将帮助您确定风险是否可以容忍,以及您是否需要控制措施来消除或减少风险。
为了给风险赋值,你需要考虑:
- 被保护资产的价值
- 威胁或漏洞可能发生的频率
- 风险可能对公司或其客户或合作伙伴造成的损害
例如,您可以为您的风险分配低、中和高的值。要确定分配哪个值,您可以确定,如果资产的价值很高,并且特定风险造成的损害也很高,那么风险的值也应该很高,尽管潜在的频率很低。您的风险评估方法文档应该告诉您使用什么值,并可能还指定在何种情况下应该分配特定值。
另外,一定要参考您的风险评估方法文档,以确定某个风险值的含义。例如,为了使您的 ISMS 易于管理,您的风险评估方法可能指定只有中值或高值的风险需要在您的 ISMS 中进行控制。根据您的业务需求和行业标准,风险将被分配适当的值。
输入
- 资产及其相关风险和 CIA 级别的列表,您在前面的步骤中创建。
- 可能来自管理层关于他们愿意接受的特定资产的风险水平的输入。
输出
当您完成您的评估时,您将确定哪些信息资产具有不可容忍的风险,因此需要控制。您应该有一个文档(有时称为风险评估报告),它指示了每个资产的风险值。
在下一个步骤中,您将确定哪些控制可能适用于需要控制的资产,以便将风险降低到可容忍的水平。
该文档可以是独立的,也可以是包含您的风险评估方法和该风险评估的整体风险评估文档的一部分。
案例
如果你使用一个类似于上面例子中的表,完成这一步后,你的结果可能会像下面的例子。
|
资产
|
明细
|
所有者
|
位置
|
CIA说明
|
替代价值
|
风险总结
|
风险值
|
控制
|
控制是否足够?
|
| 战略信息 | 中长时期的计划 | CEO | CEO 电脑 | C:高 I:高 A:中 |
高 | 信息泄露(给予第三方优势)) | 高 | ||
| 项目计划 | 短周期的计划 | CEO | CEO 电脑 | C:高 I:高 A:低 |
中 | 信息泄露(给予竞争对手优势);可能会失去生意 | 中 | ||
| 人力资源文档 | 员工记录 | 公司管理层 | HR 团队 | C:高 I:高 A:低 |
中 | 个人信息泄露 | 中 |
CIA – Confidentiality 机密性、Integrity 完整性、Availability 可用性