業(yè)務(wù)板塊
Business Segments 風(fēng)險(xiǎn)評(píng)估(Risk Assessment) 是指,在風(fēng)險(xiǎn)事件發(fā)生之前或之后(但還沒有結(jié)束),該事件給人們的生活、生命、財(cái)產(chǎn)等各個(gè)方面造成的影響和損失的可能性進(jìn)行量化評(píng)估的工作。即,風(fēng)險(xiǎn)評(píng)估就是量化測評(píng)某一事件或事物帶來的影響或損失的可能程度。
從信息安全的角度來講,風(fēng)險(xiǎn)評(píng)估是對(duì)信息資產(chǎn)(即某事件或事物所具有的信息集)所面臨的威脅、存在的弱點(diǎn)、造成的影響,以及三者綜合作用所帶來風(fēng)險(xiǎn)的可能性的評(píng)估。作為風(fēng)險(xiǎn)管理的基礎(chǔ),風(fēng)險(xiǎn)評(píng)估是組織確定信息安全需求的一個(gè)重要途徑,屬于組織信息安全管理體系策劃的過程。
風(fēng)險(xiǎn)評(píng)估過程注意事項(xiàng)
在風(fēng)險(xiǎn)評(píng)估過程中,有幾個(gè)關(guān)鍵的問題需要考慮。
首先,要確定保護(hù)的對(duì)象(或者資產(chǎn))是什么?它的直接和間接價(jià)值如何?
其次,資產(chǎn)面臨哪些潛在威脅?導(dǎo)致威脅的問題所在?威脅發(fā)生的可能性有多大?
第三,資產(chǎn)中存在哪些弱點(diǎn)可能會(huì)被威脅所利用?利用的容易程度又如何?
第四,一旦威脅事件發(fā)生,組織會(huì)遭受怎樣的損失或者面臨怎樣的負(fù)面影響?
最后,組織應(yīng)該采取怎樣的安全措施才能將風(fēng)險(xiǎn)帶來的損失降低到最低程度?
解決以上問題的過程,就是風(fēng)險(xiǎn)評(píng)估的過程。
進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí),有幾個(gè)對(duì)應(yīng)關(guān)系必須考慮:
每項(xiàng)資產(chǎn)可能面臨多種威脅
威脅源(威脅代理)可能不止一個(gè)
每種威脅可能利用一個(gè)或多個(gè)弱點(diǎn)
重慶宏駿安全技術(shù)咨詢有限公司
Copy right ? 2019 重慶宏駿安全技術(shù)咨詢有限公司 公司介紹 / 業(yè)務(wù)板塊 / 新聞中心 / 法律法規(guī) / 聯(lián)系我們 /