風(fēng)險(xiǎn)評(píng)估是在風(fēng)險(xiǎn)管理過(guò)程的一個(gè)步驟�。風(fēng)險(xiǎn)評(píng)估是將不確定的威脅或損失進(jìn)行量化的工作。風(fēng)險(xiǎn)評(píng)估的量化需要計(jì)算兩部分風(fēng)險(xiǎn):潛在損失的大小��,和損失發(fā)生的概率。在所有類型 的復(fù)雜系統(tǒng)工程都利用先進(jìn)的風(fēng)險(xiǎn)評(píng)估系統(tǒng)來(lái)增加工程的安全性和可靠性��,尤其在涉及到生活����,環(huán)境或機(jī)器運(yùn)轉(zhuǎn)領(lǐng)域�。核工業(yè)���、航天�、石油����、鐵路���、軍工等行業(yè)使用風(fēng)險(xiǎn)評(píng)估有著悠久的歷史���。此外,醫(yī)療����、醫(yī)院和食品工業(yè)控制風(fēng)險(xiǎn)和進(jìn)行風(fēng)險(xiǎn)評(píng)估的應(yīng)用在持續(xù)推進(jìn)�����。因?yàn)樨?cái)務(wù)決策���、環(huán)境����、生態(tài)或公共健康風(fēng)險(xiǎn)的不同,在不同行業(yè)間和風(fēng)險(xiǎn)評(píng)估方法也不同���。
風(fēng)險(xiǎn)評(píng)估的三種可行途徑
在風(fēng)險(xiǎn)管理的前期準(zhǔn)備階段��,組織已經(jīng)根據(jù)安全目標(biāo)確定了自己的安全戰(zhàn)略�,其中就包括對(duì)風(fēng)險(xiǎn)評(píng)估戰(zhàn)略的考慮��。所謂風(fēng)險(xiǎn)評(píng)估戰(zhàn)略���,其實(shí)就是進(jìn)行風(fēng)險(xiǎn)評(píng)估的途徑,也就是規(guī)定風(fēng)險(xiǎn)評(píng)估應(yīng)該延續(xù)的操作過(guò)程和方式�。
風(fēng)險(xiǎn)評(píng)估的操作范圍可以是整個(gè)組織,也可以是組織中的某一部門(mén)����,或者獨(dú)立的信息系統(tǒng)、特定系統(tǒng)組件和服務(wù)��。影響風(fēng)險(xiǎn)評(píng)估進(jìn)展的某些因素����,包括評(píng)估時(shí)間��、力度�����、展開(kāi)幅度和深度�,都應(yīng)與組織的環(huán)境和安全要求相符合���。組織應(yīng)該針對(duì)不同的情況來(lái)選擇恰當(dāng)?shù)娘L(fēng)險(xiǎn)評(píng)估途徑���。目前,實(shí)際工作中經(jīng)常使用的風(fēng)險(xiǎn)評(píng)估途徑包括基線評(píng)估�����、詳細(xì)評(píng)估和組合評(píng)估三種。
風(fēng)險(xiǎn)評(píng)估的角色及職責(zé)
1����、 風(fēng)險(xiǎn)評(píng)估的角色
信息安全風(fēng)險(xiǎn)評(píng)估(以下簡(jiǎn)稱風(fēng)險(xiǎn)評(píng)估)在具體實(shí)施過(guò)程中將涉及多個(gè)參與方��,參與方在評(píng)估中扮演不同的角色����。在一個(gè)完整的信息安全風(fēng)險(xiǎn)評(píng)估當(dāng)中,一般包括主管機(jī)關(guān)��、信息系統(tǒng)擁有者�����、信息系統(tǒng)承建者��、信息安全評(píng)估機(jī)構(gòu)以及信息系統(tǒng)的相關(guān)機(jī)構(gòu)�����。
2��、 風(fēng)險(xiǎn)評(píng)估的職責(zé)
其各自的職責(zé)為:
(1)行政審批
主管機(jī)關(guān)具有風(fēng)險(xiǎn)評(píng)估的行政審批權(quán)力�����,主要負(fù)責(zé)提出����、制定并批準(zhǔn)本部門(mén)的信息安全風(fēng)險(xiǎn)管理策略,領(lǐng)導(dǎo)和組織本部門(mén)內(nèi)的信息安全評(píng)估工作����?����;诒静块T(mén)內(nèi)信息系統(tǒng)的特征以及風(fēng)險(xiǎn)評(píng)估的結(jié)果��,判斷信息系統(tǒng)殘余風(fēng)險(xiǎn)是否可接受�,并確定是否批準(zhǔn)信息系統(tǒng)投入運(yùn)行�����。檢查信息系統(tǒng)運(yùn)行中產(chǎn)生的安全狀態(tài)報(bào)告��;定期或不定期地開(kāi)展新的信息安全風(fēng)險(xiǎn)評(píng)估工
(2)組織協(xié)調(diào)
信息系統(tǒng)擁有者具有風(fēng)險(xiǎn)評(píng)估的組織協(xié)調(diào)權(quán)力���,將負(fù)責(zé)制定安全計(jì)劃�����,報(bào)主管機(jī)關(guān)審批�����;組織實(shí)施信息系統(tǒng)自評(píng)估工作����;配合強(qiáng)制性檢查評(píng)估或委托評(píng)估工作�����,并提供必要的文檔等資源����;向主管機(jī)關(guān)提出新一輪風(fēng)險(xiǎn)評(píng)估的建議���;改善信息安全防護(hù)措施�,控制信息安全風(fēng)
(3)措施整改
信息系統(tǒng)承建者應(yīng)根據(jù)對(duì)信息系統(tǒng)建設(shè)方案的風(fēng)險(xiǎn)評(píng)估結(jié)果修正安全方案,使安全方案成本合理��、積極有效�����,在方案中有效地控制風(fēng)險(xiǎn)����;規(guī)范建設(shè)���,減少在建設(shè)階段引入的新風(fēng)險(xiǎn)����;確保安全組件產(chǎn)品得到了相關(guān)機(jī)構(gòu)的認(rèn)證����。
(4)具體實(shí)施
信息安全評(píng)估機(jī)構(gòu)提供獨(dú)立的信息安全風(fēng)險(xiǎn)評(píng)估����;對(duì)信息系統(tǒng)中的安全防護(hù)措施進(jìn)行評(píng)估,以判斷這些安全防護(hù)措施在特定運(yùn)行環(huán)境中的有效性以及實(shí)現(xiàn)了這些措施后系統(tǒng)中存在的殘余風(fēng)險(xiǎn)��;提出調(diào)整建議,以減少或根除信息系統(tǒng)中的脆弱性��,有效對(duì)抗安全威脅���,控制風(fēng)險(xiǎn)�����;保護(hù)風(fēng)險(xiǎn)評(píng)估中獲得的敏感信息,防止被無(wú)關(guān)人員和單位獲得�。
(5)輔助支持
信息系統(tǒng)的相關(guān)機(jī)構(gòu)為風(fēng)險(xiǎn)評(píng)估提供輔助支持,遵守安全策略����、法規(guī)、合同等涉及信息系統(tǒng)交互行為的安全要求���,減少信息安全風(fēng)險(xiǎn);協(xié)助風(fēng)險(xiǎn)評(píng)估機(jī)構(gòu)確定評(píng)估邊界�;在風(fēng)險(xiǎn)評(píng)估中提供必要的資源和資料。
風(fēng)險(xiǎn)評(píng)估過(guò)程注意事項(xiàng)
在風(fēng)險(xiǎn)評(píng)估過(guò)程中���,有幾個(gè)關(guān)鍵的問(wèn)題需要考慮���。
首先����,要確定保護(hù)的對(duì)象(或者資產(chǎn))是什么����?它的直接和間接價(jià)值如何���?
其次��,資產(chǎn)面臨哪些潛在威脅���?導(dǎo)致威脅的問(wèn)題所在?威脅發(fā)生的可能性有多大�? 第三���,資產(chǎn)中存在哪些弱點(diǎn)可能會(huì)被威脅所利用?利用的容易程度又如何�?
第四,一旦威脅事件發(fā)生�����,組織會(huì)遭受怎樣的損失或者面臨怎樣的負(fù)面影響?
最后���,組織應(yīng)該采取怎樣的安全措施才能將風(fēng)險(xiǎn)帶來(lái)的損失降低到最低程度?
解決以上問(wèn)題的過(guò)程�����,就是風(fēng)險(xiǎn)評(píng)估的過(guò)程����。
進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí),有幾個(gè)對(duì)應(yīng)關(guān)系必須考慮
每項(xiàng)資產(chǎn)可能面臨多種威脅
威脅源(威脅代理)可能不止一個(gè)
每種威脅可能利用一個(gè)或多個(gè)弱點(diǎn)
首次關(guān)注立得50積分
君龍小青龍5號(hào)A款少兒重大疾病保險(xiǎn)(互聯(lián)網(wǎng))1379.00¥起詳情
遼ICP備12007009號(hào)-1
