风险评估基础
- 什么是风险?
- 什么是风险评估?
- 什么是风险管理?
- 什么是剩余风险?
- 为什么要进行风险评估?
- 信息安全风险评估应在何时进行?
- ISMS建立过程中现状调查与风险评估的主要工作有哪些?
- 什么是威胁?
- 什么是薄弱点?
- 什么是安全控制?
- 什么是适用性声明 SoA?
- 风险评估的基本步骤有哪些?
- 风险评估时应考虑哪些因素?
- 风险评估过程中哪些内容应该被文件化?
- 根据风险评估的深度,风险评估方法有哪几种?
- 组织在选择风险评估方法时,应该考虑哪些方面的内容?
- 风险评估与ISO 27001和ISO 27002的关系?
- 什么是基本的风险评估,此评估方法适用于何种组织?
- 什么是联合评估方法?
- 什么是详细的风险评估?
- 基本风险评估活动涉及的具体内容有哪些?
- 基本风险评估的优点有哪些?
- 基本风险评估的缺点有哪些?
- 联合评估方法的优点有哪些?
- 联合评估方法的缺点有哪些?
- 详细风险评估活动涉及的具体内容有哪些?
- 详细风险评估的优点有哪些?
- 详细风险评估的缺点有哪些?
- 对于已识别的风险组织应如何进行处理?
- 风险控制过程涉及的活动有哪些?
- 安全控制可分为哪几类,每一类的作用是什么?
- 怎样才能确保识别全部重要信息资产?
- 影响威胁发生的可能性的因素有哪些?
- 评估威胁发生的可能性需要考虑哪些方面?
详细风险评估活动涉及的具体内容有哪些?
风险评估和管理任务 |
详细风险评估活动 |
资产识别和估价 |
识别和列出信息安全管理范围内被评估的业务环境、运作和信息相关的所有资产,定义一个价值尺度并为每一项资产分配价值(保密性、完整性和可用性的价值)。 |
威胁评估 |
识别与资产相关的所有威胁,并根据它们发生的可能性和严重性为它们赋值。 |
薄弱点评估 |
识别与资产相关的所有薄弱点,并根据它们被威胁利用的难易程度来为它们赋值。 |
现有的和计划了的安全控制的识别 |
根据前期评审,将所有现有的/计划了的与资产相关的安全控制进行识别和文件化。 |
风险评估 |
利用上述对资产、威胁、薄弱点的评价结果,进行风险计算,风险为资产的相对价值、威胁发生的可能性与薄弱点被利用的可能性的函数,采用适当的风险测量工具进行风险计算。 |
安全控制和降低风险的识别和选择 |
根据从上述评估中识别的风险,识别适当的安全控制需要,以阻止这些风险。识别与每一项被评估的风险相关的控制目标。根据与这些资产的每一项相关的威胁和薄弱点识别安全控制,以完成这些目标。最后,评估被选择的安全控制多大程度上降低了被识别的风险。 |
风险接受 |
对残余的风险加以分类,或是‘可接受的’或是‘不可接受的’。对那些被确认是‘不可接受的’,决定选择更进一步的控制还是改变可接受风险的程度。 |