安全风险评估就是识别危害,找出安全事故的危害之处,对危害作出风险评估,并对安全事故危害作出有效的控制,安全评估主要由识别安全事故的危害、评估危害的风险和控制风险的措施及管理组成。
风险评估的个步骤:
- 步骤1:描述系统特征
- 步骤2:识别威胁(威胁评估)
- 步骤3:识别脆弱性(脆弱性评估)
- 步骤4:分析安全控制
- 步骤5:确定可能性
- 步骤6:分析影响
- 步骤7:确定风险
- 步骤8:对安全控制提出建议
- 步骤9:记录评估结果
风险评估是指从风险管理角度,依据国家有关信息安全技术标准和准则,运用科学的方法和手段,对信息系统及处理、传输和存储信息的保密性、完整性及可用性等安全属性进行全面科学地分析;对网络与信息系统所面临的威胁及存在的脆弱性进行系统的评价;对安全事件一旦发生可能造成的危害程度进行评估,并提出有针对性地抵御威胁的防护对策和整改措施。
风险评估需要分析以下这些内容:
对资产进行识别,并对资产的重要性进行赋值;
对威胁进行识别,描述威胁的属性,并对威胁出现的频率赋值;
对资产的脆弱性进行识别,并对具体资产脆弱性的严重程度赋值;
根据威胁和脆弱性的识别结果判断安全事件发生的可能性;
根据脆弱性的严重程度及安全事件所作用资产的重要性计算安全事件的损失;
根据安全事件发生的可能性以及安全事件的损失,计算安全事件一旦发生对组织的影响,即风险值。
推荐文章