亚洲欧美精品沙发,日韩在线精品视频,亚洲Av每日更新在线观看,亚洲国产另类一区在线5

<pre id="hdphd"></pre>

  • <div id="hdphd"><small id="hdphd"></small></div>
      學(xué)習(xí)啦>知識大全>知識百科>百科知識>

      風(fēng)險評估是什么意思有什么常用方法

      時間: 謝君787 分享

        風(fēng)險評估就是量化測評某一事件或事物帶來的影響或損失的可能程度。那么你對風(fēng)險評估了解多少呢?以下是由學(xué)習(xí)啦小編整理關(guān)于什么是風(fēng)險評估的內(nèi)容,希望大家喜歡!

        風(fēng)險評估的簡介

        風(fēng)險評估(Risk Assessment) 是指,在風(fēng)險事件發(fā)生之前或之后(但還沒有結(jié)束),該事件給人們的生活、生命、財產(chǎn)等各個方面造成的影響和損失的可能性進(jìn)行量化評估的工作。即,風(fēng)險評估就是量化測評某一事件或事物帶來的影響或損失的可能程度。

        從信息安全的角度來講,風(fēng)險評估是對信息資產(chǎn)(即某事件或事物所具有的信息集)所面臨的威脅、存在的弱點、造成的影響,以及三者綜合作用所帶來風(fēng)險的可能性的評估。作為風(fēng)險管理的基礎(chǔ),風(fēng)險評估是組織確定信息安全需求的一個重要途徑,屬于組織信息安全管理體系策劃的過程。

        風(fēng)險評估過程注意事項

        在風(fēng)險評估過程中,有幾個關(guān)鍵的問題需要考慮。

        首先,要確定保護(hù)的對象(或者資產(chǎn))是什么?它的直接和間接價值如何?

        其次,資產(chǎn)面臨哪些潛在威脅?導(dǎo)致威脅的問題所在?威脅發(fā)生的可能性有多大?

        第三,資產(chǎn)中存在哪些弱點可能會被威脅所利用?利用的容易程度又如何?

        第四,一旦威脅事件發(fā)生,組織會遭受怎樣的損失或者面臨怎樣的負(fù)面影響?

        最后,組織應(yīng)該采取怎樣的安全措施才能將風(fēng)險帶來的損失降低到最低程度?

        解決以上問題的過程,就是風(fēng)險評估的過程。

        進(jìn)行風(fēng)險評估時,有幾個對應(yīng)關(guān)系必須考慮:

        每項資產(chǎn)可能面臨多種威脅

        威脅源(威脅代理)可能不止一個

        每種威脅可能利用一個或多個弱點

        風(fēng)險評估可行途徑

        在風(fēng)險管理的前期準(zhǔn)備階段,組織已經(jīng)根據(jù)安全目標(biāo)確定了自己的安全戰(zhàn)略,其中就包括對風(fēng)險評估戰(zhàn)略的考慮。所謂風(fēng)險評估戰(zhàn)略,其實就是進(jìn)行風(fēng)險評估的途徑,也就是規(guī)定風(fēng)險評估應(yīng)該延續(xù)的操作過程和方式。

        風(fēng)險評估的操作范圍可以是整個組織,也可以是組織中的某一部門,或者獨立的信息系統(tǒng)、特定系統(tǒng)組件和服務(wù)。影響風(fēng)險評估進(jìn)展的某些因素,包括評估時間、力度、展開幅度和深度,都應(yīng)與組織的環(huán)境和安全要求相符合。組織應(yīng)該針對不同的情況來選擇恰當(dāng)?shù)娘L(fēng)險評估途徑。實際工作中經(jīng)常使用的風(fēng)險評估途徑包括基線評估、詳細(xì)評估和組合評估三種。

        基線

        如果組織的商業(yè)運作不是很復(fù)雜,并且組織對信息處理和網(wǎng)絡(luò)的依賴程度不是很高,或者組織信息系統(tǒng)多采用普遍且標(biāo)準(zhǔn)化的模式,基線風(fēng)險評估(Baseline Risk Assessment)就可以直接而簡單地實現(xiàn)基本的安全水平,并且滿足組織及其商業(yè)環(huán)境的所有要求。

        采用基線風(fēng)險評估,組織根據(jù)自己的實際情況(所在行業(yè)、業(yè)務(wù)環(huán)境與性質(zhì)等),對信息系統(tǒng)進(jìn)行安全基線檢查(拿現(xiàn)有的安全措施與安全基線規(guī)定的措施進(jìn)行比較,找出其中的差距),得出基本的安全需求,通過選擇并實施標(biāo)準(zhǔn)的安全措施來消減和控制風(fēng)險。所謂的安全基線,是在諸多標(biāo)準(zhǔn)規(guī)范中規(guī)定的一組安全控制措施或者慣例,這些措施和慣例適用于特定環(huán)境下的所有系統(tǒng),可以滿足基本的安全需求,能使系統(tǒng)達(dá)到一定的安全防護(hù)水平。組織可以根據(jù)以下資源來選擇安全基線:

        國際標(biāo)準(zhǔn)和國家標(biāo)準(zhǔn),例如BS 7799-1、ISO 13335-4;

        行業(yè)標(biāo)準(zhǔn)或推薦

        來自其他有類似商務(wù)目標(biāo)和規(guī)模的組織的慣例。

        當(dāng)然,如果環(huán)境和商務(wù)目標(biāo)較為典型,組織也可以自行建立基線。

        基線評估的優(yōu)點是需要的資源少,周期短,操作簡單,對于環(huán)境相似且安全需求相當(dāng)?shù)闹T多組織,基線評估顯然是最經(jīng)濟有效的風(fēng)險評估途徑。當(dāng)然,基線評估也有其難以避免的缺點,比如基線水平的高低難以設(shè)定,如果過高,可能導(dǎo)致資源浪費和限制過度,如果過低,可能難以達(dá)到充分的安全,此外,在管理安全相關(guān)的變化方面,基線評估比較困難。

        基線評估的目標(biāo)是建立一套滿足信息安全基本目標(biāo)的最小的對策集合,它可以在全組織范圍內(nèi)實行,如果有特殊需要,應(yīng)該在此基礎(chǔ)上,對特定系統(tǒng)進(jìn)行更詳細(xì)的評估。

        詳細(xì)

        詳細(xì)風(fēng)險評估要求對資產(chǎn)進(jìn)行詳細(xì)識別和評價,對可能引起風(fēng)險的威脅和弱點水平進(jìn)行評估,根據(jù)風(fēng)險評估的結(jié)果來識別和選擇安全措施。這種評估途徑集中體現(xiàn)了風(fēng)險管理的思想,即識別資產(chǎn)的風(fēng)險并將風(fēng)險降低到可接受的水平,以此證明管理者所采用的安全控制措施是恰當(dāng)?shù)摹?/p>

      下一頁更多有關(guān)“什么是風(fēng)險評估”的內(nèi)容

      1397271