风险评估基础
- 什么是风险?
- 什么是风险评估?
- 什么是风险管理?
- 什么是剩余风险?
- 为什么要进行风险评估?
- 信息安全风险评估应在何时进行?
- ISMS建立过程中现状调查与风险评估的主要工作有哪些?
- 什么是威胁?
- 什么是薄弱点?
- 什么是安全控制?
- 什么是适用性声明 SoA?
- 风险评估的基本步骤有哪些?
- 风险评估时应考虑哪些因素?
- 风险评估过程中哪些内容应该被文件化?
- 根据风险评估的深度,风险评估方法有哪几种?
- 组织在选择风险评估方法时,应该考虑哪些方面的内容?
- 风险评估与ISO 27001和ISO 27002的关系?
- 什么是基本的风险评估,此评估方法适用于何种组织?
- 什么是联合评估方法?
- 什么是详细的风险评估?
- 基本风险评估活动涉及的具体内容有哪些?
- 基本风险评估的优点有哪些?
- 基本风险评估的缺点有哪些?
- 联合评估方法的优点有哪些?
- 联合评估方法的缺点有哪些?
- 详细风险评估活动涉及的具体内容有哪些?
- 详细风险评估的优点有哪些?
- 详细风险评估的缺点有哪些?
- 对于已识别的风险组织应如何进行处理?
- 风险控制过程涉及的活动有哪些?
- 安全控制可分为哪几类,每一类的作用是什么?
- 怎样才能确保识别全部重要信息资产?
- 影响威胁发生的可能性的因素有哪些?
- 评估威胁发生的可能性需要考虑哪些方面?
组织在选择风险评估方法时,应该考虑哪些方面的内容?
组织可以选择不同的风险评估方法,每一种方法都有其优点和不足,在平衡考虑选择哪种评估方法时组织应该考虑:
□ 组织的业务背景;
□ 该业务的性质和重要程度;
□ 组织业务、业务支持系统、应用程序和服务的复杂程度;
□ 组织业务对该信息新系统的依赖程度;
□ 组织业务合作伙伴的多少、外部业务和合同关系;
□ 对这个信息系统投入成本的高低,即为了开发、维护或替换这个信息系统及其资产的成本,这也是一个机构为它直接赋予的价值。
这些因素存在于每一种业务中,在选择评估方法是应该参照这些因素考虑各种方法的优点和不足。通常来说越重要、越关键、一旦发生灾难带来的损失越大的业务,组织应该为其安全投入更多的时间和资源。