如何高效地执行信息安全风险评估
发布网友
发布时间:2022-04-22 23:57
共1个回答
热心网友
时间:2023-10-09 00:53
1、建立有效的风险分析模型
在风险评估过程中,atsec所使用的风险分析模型会包括多个层面,以更有效地进行风险评价。模型方法如下: 风险发生的可能性 初步的控制措施 风险发生对客户业务的影响 风险发生对客户品牌的影响 风险发生对客户收益的影响 对于具体的分析过程,由评估人员基于访谈情况、渗透情况以及相关的信息输入,从品牌、收益和客户三方面的影响进行展开。每一选项的赋值基于方*中的准则进行确定,下图为整个风险评估过程中,对数据库和应用系统存在威胁的评定示例:
2、使用半定量化的风险计算方法
因威胁本身具有不断变化和难以测量的性质,推荐明智地使用半定量化的测试方法。在具体的执行过程中,atsec的做法是通过对每个威胁的评估结果给出半定量的评级,并进一步通过风险计算方法使最终的评估结果更精确。因篇幅原因,在此不展开具体的风险计算方法。
3、使用自动化的风险计算工具
基于风险评估在执行过程中,atsec使用自有开发的计算工具,以最大程度上节省风险计算所占用的工作量。
4、最大限度地使用辅助工具
在对技术类威胁的评估过程中,如关键帐号和口令安全性,通过管理访谈方法通常难以做出准确的判断。atsec则会在类似的过程中尽最大限度地使用各种辅助工具和手段,比如密码安全性验证、服务器的技术漏洞等。
