【#文档大全网# 导语】以下是®文档大全网的小编为您整理的《第19讲风险评估的基本过程-评估风险》,欢迎阅读!
第19讲风险评估的基本过程-评估风险
我们知道,构成风险的要素有四个:资产、威胁、弱点和安全措施,在识别了这四个要素之后,存在什么风险就可以显现了。
描述风险可以借助场景(Scenario)叙述的方式来进行,所谓场景,就是威胁事件可能发生的情况,比如说,由于信息的加密强度不高(弱点,控制的效力低),公司内部职员(威胁)有可能利用这一点而窃取保密的客户信息(资产)。 在对威胁场景进行描述的同时,我们的目的还是要评估风险,确定风险的等级,也就是度量并评价组织信息安全管理范围内每一项信息资产遭受泄漏、修改、破坏所造成影响的风险水平,有了这样的认识,组织就可以有重点有先后地选择应对措施,并最终消减风险。
评价风险有两个关键因素,一个是威胁对信息资产造成的影响,另一个是威胁发生的可能性,前者通过资产识别与评价已经得到了确认(即资产受影响的敏感度),而后者还需要根据威胁评估、弱点评估、现有控制的评估来进行认定。 威胁事件发生的可能性需要结合威胁源的内因(动机和能力)、弱点和控制这两个外因来综合评价。评估者可以通过经验分析或者定性分析的方法来确定每种威胁事件发生的可能性,比如以“动机-能力”矩阵评估威胁等级(内在发生的可能性),以“严重程度-暴露程度”矩阵来评估弱点等级(被利用的容易性),最终对威胁等级、弱点等级、控制等级(有效性)进行三元分析,得到威胁事件真实发生的可能性。
表3.2 列举了一种为威胁事件可能性定级的模式。
明确了风险影响和威胁发生的可能性之后,可以通过风险分析矩阵来对风险定级。首先,我们来定义一下风险分级的模式,如表3.3 所列。
接下来,我们制定风险分析矩阵,即“可能性-后果”矩阵,如表3.4 所示。
通常来说,组织对于高风险和严重风险是不可接受的,必然要选择并实施相应的
本文来源:https://www.wddqxz.cn/baee384af9d6195f312b3169a45177232f60e43f.html
2023-08-10
