資料結構
網路
關係型資料庫管理系統
作業系統
Java
MS Excel
iOS
HTML
CSS
Android
Python
C 程式設計
C++
C#
MongoDB
MySQL
Javascript
PHP
物理學
化學
生物學
數學
英語
經濟學
心理學
社會學
服裝設計
法律研究網路安全中的殘餘風險是什麼?
殘餘風險是在已經採取所有措施來檢測和消除某些或所有風險類別後仍然存在的風險。評估殘餘風險對於滿足合規性和監管要求至關重要。必須評估殘餘風險,以便隨著時間的推移優先考慮安全措施和流程。
如何計算殘餘風險?
在制定風險管理策略之前,必須首先量化數字生態系統中所有獨特的殘餘危害。這將幫助您定義管理計劃的具體要求,並使您能夠評估緩解措施的有效性。
計算生態系統中剩餘的危險是一項艱鉅的任務。
殘餘風險 = 固有風險 - 風險控制的影響
為了評估恢復計劃的有效性,可以將殘餘風險與風險容忍度(或風險承受能力)進行比較。這將促使對所有已實施的安全程式進行審查,並找出允許過高固有風險的任何缺陷。安全團隊可以使用此類重要的分析執行有針對性的補救工作,從而實現內部資源的有效部署。
固有風險與殘餘風險
固有風險和殘餘風險評估之間的主要區別在於,後者考慮了控制和其他緩解策略的影響。
每個評估計劃都需要以下定義 -
固有可能性是在沒有安全保障措施的環境中發生事件的可能性。
固有影響 - 發生事件對缺乏安全保障措施的系統的影響。
在實施了安全保障措施的環境中發生事件的可能性稱為殘餘可能性。
殘餘影響是在實施了安全控制措施的環境中發生事件的影響。
只有在明確了實體的主要目標並努力發現可能出錯以阻止實體實現這些目標的事情後,才會確定固有風險。
除了影響和可能性之外,管理層還會評估風險的型別,例如風險是由欺詐、風暴等自然災害還是複雜或不常見的商業活動引起的。瞭解風險的起源和特徵有助於確定其可能的影響和發生的可能性。
對現有內部控制的依賴程度越高,因此其有效性越高,固有風險和殘餘風險之間的路徑就越長。
如何管理殘餘風險?
組織在任何特定情況下改變可接受風險量的能力是管理殘餘風險的關鍵。組織可以採取以下步驟來降低任何殘餘風險 -
如果殘餘風險低於任何業務中的可接受風險水平,組織可以簡單地假設已建立的控制措施已被證明足夠有效以將風險降低到可接受的水平。
更新或增加實施的控制措施。如果殘餘風險仍然高於可接受的風險水平,則可能需要新的或更改的控制措施和流程,以將固有風險降低到可接受的水平。
評估控制措施與緩解成本以做出決策。假設殘餘風險仍然高於可接受的風險閾值,並且必要的控制措施和對策的成本過高。在這種情況下,組織可能被迫接受風險,而不管殘餘風險如何。
如何定義可接受的風險水平
必須為每個資產建立可接受的風險。對於大量的資產清單,這可能成為一項不可能的要求。以下的可接受風險分析方法將有助於分配工作並加快流程。
這可以透過以下概述的風險分析方法來實現 -
使用數字足跡對映識別所有資產。
為每個資產(或資產組)分配所有者。
確定每個資產的現有和潛在漏洞
這些缺陷被利用的可能性
可容忍的風險水平應表示為百分比,其中 -
如果固有風險因素小於 3%(高風險容忍度),則認為風險是可以接受的。
如果固有風險因素在 3% 到 3.9% 之間,則認為風險是可以容忍的(中等風險容忍度)。
4% 到 5% 的風險因素等於 10%。(低風險容忍度)
373 次瀏覽
