風險評估框架流程及分析原理
風險評估框架及流程風險要素關係
風險評估中各要素的關係如圖 1所示:
圖 1 中方框部分的內容為風險評估的基本要素,橢圓部分的內容是與這些要素相關的屬
性。風險評估圍繞著資產、威脅、脆弱性和安全措施這些基本要素展開,在對基本要素的評估
過程中,需要充分考慮業務戰略、資產價值、安全需求、安全事件、殘餘風險等與這些基本要
素相關的各類屬性。
圖1中的風險要素及屬性之間存在著以下關係:
a)業務戰略的實現對資產具有依賴性,依賴程度越高,要求其風險越小;
b)資產是有價值的,組織的業務戰略對資產的依賴程度越高,資產價值就越大;
c)風險是由威脅引發的,資產面臨的威脅越多則風險越大,並可能演變成為安全事件;
d)資產的脆弱性可能暴露資產的價值,資產具有的弱點越多則風險越大;
e)脆弱性是未被滿足的安全需求,威脅利用脆弱性危害資產;
f)風險的存在及對風險的認識匯出安全需求;
g)安全需求可通過安全措施得以滿足,需要結合資產價值考慮實施成本;
h)安全措施可抵禦威脅,降低風險;
i)殘餘風險有些是安全措施不當或無效,需要加強才可控制的風險;而有些則是在綜合考慮了安全
成本與效益後不去控制的風險;
j)殘餘風險應受到密切監視,它可能會在將來誘發新的安全事件。
風險分析原理
風險分析原理如圖2所示:
風險分析中要涉及資產、威脅、脆弱性三個基本要素。每個要素有各自的屬性,資產的屬性是資產
價值;威脅的屬性可以是威脅主體、影響物件、出現頻率、動機等;脆弱性的屬性是資產弱點的嚴重程
度。風險分析的主要內容為:
a)對資產進行識別,並對資產的價值進行賦值;
b)對威脅進行識別,描述威脅的屬性,並對威脅出現的頻率賦值;
c)對脆弱性進行識別,並對具體資產的脆弱性的嚴重程度賦值;
d)根據威脅及威脅利用脆弱性的難易程度判斷安全事件發生的可能性;
e)根據脆弱性的嚴重程度及安全事件所作用的資產的價值計算安全事件的損失;
f) 根據安全事件發生的可能性以及安全事件出現後的損失,計算安全事件一旦發生對組織的影響,
即風險值。
本文轉自cf123456 51CTO部落格,原文連結:http://blog.51cto.com/chengfei/725051
相關文章
- 什麼是風險評估?風險評估需要分析哪些內容?
- IT風險評估及風險管理之應用安全篇(轉)
- 國際風險投資機構的專案風險分析和評估(轉)
- 網路安全風險評估流程包括哪些步驟?小白入門必看
- 什麼是網路安全風險評估?需要評估哪些內容?
- 資料庫效能需求分析及評估模型資料庫模型
- 資料分析:複雜業務場景下,量化評估流程
- Script:收集資料庫安全風險評估資訊資料庫
- ARKInvest:評估比特幣框架比特幣框架
- Xcode 7 Bitcode的工作流程及安全性評估XCode
- Rust非同步框架的效能評估Rust非同步框架
- sklearn建模及評估(聚類)聚類
- 評估Kubernetes中的Serverless框架Server框架
- MySQL准入規範及容量評估MySql
- 評估類、評估類別、評估級別關係
- 埃森哲:只有11%的風險經理能完全評估採用AI的風險AI
- 有效供應商評估流程的重要性
- 01 . Go框架之Beego簡介部署及程式流程分析Go框架
- CCIA技術沙龍 | “資料安全風險評估及安全服務實踐” 沙龍成功舉辦
- 您的資料安全嗎?如何評估和降低資料風險
- 綠盟科技:以智慧的方法落實資料安全風險評估
- 「翻譯」SAP MM 供應商評估流程初階
- 2023愛分析·流程挖掘市場廠商評估報告:容智資訊
- 如何更好評估信用貸風險?看這場評分卡模型直播就可以了模型
- 對於網路安全風險評估 企業當如何妥善處理?
- 團隊成員分工及績效評估
- 使用PyLint分析評估程式碼質量
- OkHttp原理解析1(框架流程篇)HTTP框架
- 資料分析:產品促銷價值分析和評估
- 瀏覽器渲染原理及流程瀏覽器
- 關於資料安全風險評估,你不知道的這些事!
- Hibernate框架原理及使用框架
- EGADS框架處理流程分析框架
- 網站安全評估滲透測試手法分析網站
- KGB知識圖譜軟體實現上市企業的風險評估
- kafka容量評估Kafka
- Android UI繪製流程及原理AndroidUI
- ERP存在問題及風險分析(轉)