定量分析
?对构成风险的各个要素和潜在损失的水平赋予数值,风险
评估的过程和结果可被量化?资产赋值Asset Value
?暴露因子EF——损失程度的百分比?单一损失期望SLE——潜在损失总量
?年度发生率ARO——威胁在一年内发生的频率
?年度损失期望ALE——特定资产在一年内遭受损失的预期值
?SLE = Asset Value * EF?ALE = SLE * ARO
中国信息安全认证中心信息安全保障人员认证
定性分析
?按照程度分级:高、中、低?基于经验做出评判
?小组讨论、问卷调查、现场调研
中国信息安全认证中心信息安全保障人员认证
风险评估注意事项
?首先,要确定保护的对象(或者资产)是什么?它的直接????
和间接价值如何?
其次,资产面临哪些潜在威胁?导致威胁的问题所在?威胁发生的可能性有多大?
第三,资产中存在哪些弱点可能会被威胁所利用?利用的容易程度又如何?
第四,一旦威胁事件发生,组织会遭受怎样的损失或者面临怎样的负面影响?
最后,组织应该采取怎样的安全措施才能将风险带来的损失降低到最低程度?
中国信息安全认证中心信息安全保障人员认证
风险处置
?风险处置是指针对不同类型、不同规模、不同概率的风险,
采取相应的对策、措施或方法,制定并实施控制风险的计划,确定降低风险发生的可能性并减少其不良影响的方法。使风险损失对企业信息系统安全运行的影响降到最小限度。?风险缓解
?风险缓解是指通过风险控制措施来降低风险的损失频率或影响程度。
风险缓解的作用是降低了运维过程中安全风险发生时的实际损失,从而可以弥补运维过程中的不足和缺点,减少运维过程的安全风险。
?风险预防
?在损失发生前为了消除或减少可能引发损失的各种因素而采取的一种风险处理方式。风险预防是指采取预防措施,以减小损失发生的可能性及损失程度。
中国信息安全认证中心信息安全保障人员认证
过程监控
?过程监控实际是监控运维过程中各种运维人员的操作行为
和对运维过程已处置安全风险的有效性进行风险跟踪的过程。
?其一是对安全运维主体行为全过程的监控;
?其二是对运维评估对象在运维过程中对安全风险的发展与变化情况进行全程监督,并根据需要进行风险处置的调整。
中国信息安全认证中心信息安全保障人员认证
cisaw安全运维培训资料 - 图文
