《风险评估方法介绍》由会员分享,可在线阅读,更多相关《风险评估方法介绍(58页珍藏版)》请在金锄头文库上搜索。
1、风险评估过程与方法(1)-资产识别与赋值 安全领域,风险 Risk) 就是 和遭受损坏并给企业带来负面影虽 在可能性。 风险评估 (Risk Assessment) 就是对信息和信息处理设施面临的威胁、 风险受到的影响、存在的弱点以及威胁发生的可能性章评估 风险管理(Risk Management) 就是可接受的代价,识别、控制、减少;能影响信息系统的安全风险的过程。 风险评估和管理的目标 谭征习吾片评加轴 影响采取有效措施,降低威胁事件发生的可能性,或者减小威胁事件造成的影响,从而将风险消减到可接受的水平。风险管理目标更形象的描述资产 |威胁 漏洞基本的风险 采取措施后剩余的风险绝对的安全是
2、不存在的|现零 也是不现实|用性越低, 出的成本全性和成本投入之间做一种 关键是实现成本利益的平衡 |和避/让水内贞 低 所提供的安全水平 高与风险管理相关的概念争 资产 (Asset) 一一 任何对组织具有价值的东西,包括计算机硬件、通信设施、建筑物、数据库、文档信息、软件、信息服务和人员等,所有这些资产都需要妥善保:区 威胁 (Threat) 可能对资产或组织造成损害的某种安全事件发生的潜在识别出威胁源Threat source) 或威胁代理Threat agent) 。和 弱点Vulnerability) 一一 也被称作漏洞或脆弱性,即资产或资产组中存在的可被威胁利用的缺点,弱点一旦被利
3、用,就可能对资产造成损害。急 风险 Risk) 一一 特定威胁利用资产弱 “或资产组带来损害的潜在可能性。争 可能性Likelihood 对威助发生疙率革Probabijity) 焉频索-Frequency) 因 的定性描述。争 影响(Impact) 一一 后果 (Consequence) ,意外事件发生给组织带来的直接或间接的损失或伤害。全 措施 (Safeguard) 一一 控制措施 (control) 或对策 (countermeasure) ,即通过防范威胁、减少弱点、限制意外事人 影响等途径来消减风险的机制、方法和措施。急 残留风险Residual Risk) 一一 在实施安全措施之后仍然存在的风险。 风险要素关系模型利用四四四CT 333。En 23333防范 导致 号致 暴露减少|辐 | 玫 NI | 7采取 2 增加 jisa风险评估与管理 风险管理概念的公式化措述三本ERSEMI区 1
