本文目录

7 识别风险


接下来,对于您在前面步骤中定义的每个资产,您将需要识别风险并根据它们的严重性和脆弱性对它们进行分类。此外,您还需要确定机密性、完整性和可用性的丧失可能对资产产生的影响。

要开始识别风险,您应该首先为每个资产识别实际的或潜在的威胁和漏洞。

威胁是可能造成伤害的东西。例如,威胁可能是以下任何一种:

  • 意图造成伤害或痛苦的说明
  • 有可能导致不必要的事故,这可能导致对系统或组织及其资产的损害
  • 有意的、意外的或人为的可能造成伤害的行为或天灾(如飓风或海啸)

漏洞是具有潜在危害的来源或情况(例如,破碎的窗口是漏洞;它可能会引发一些潜在的伤害,比如强行闯入)

风险是特定威胁发生的可能性和严重性或频率的组合。

输入

  • 在上一步中定义的资产列表
  • 之前定义的风险评估方法

对于每个资产,您应该识别该资产可能存在的漏洞以及这些漏洞可能导致的威胁。成对地考虑威胁和漏洞通常是有帮助的——每个资产至少有一对,每个资产可能有多对。

输出

对于每个资产,您将有一个威胁和漏洞描述,并且使用您的风险评估方法,您将为该资产分配机密性、完整性和可用性级别。

可以将此信息添加到上一步创建的表中,如下面的案例所示。

案例

注意:在以下示例中,“风险总结”一栏描述了威胁和漏洞。“CIA说明 ”一栏对资产的机密性、完整性和可用性进行了分类。

资产
明细
所有者
位置
CIA说明
替代价值
风险总结
风险值
控制
控制是否足够?
战略信息中长时期的计划CEOCEO 电脑C:高
I:高
A:中
信息披露 (给予第三方优势))


项目计划短周期的计划CEOCEO 电脑C:高
I:高
A:低
信息披露(给予竞争对手优势);可能会失去生意


CIA - Confidentiality 机密性、Integrity 完整性、Availability 可用性


最近更新于 2022-05-22 猿小六2022-05-21 发布, 已阅 258 次。