資訊安全中的風險分析是什麼?

風險分析定義了與特定行動或事件相關的風險的審查。風險分析被用於資訊科技、專案、安全問題以及其他一些可能基於定量和定性基礎進行風險分析的事件。

風險分析過程遵循一些步驟,如下所示:

  • 建立風險評估團隊 - 風險評估團隊將負責收集、分析和記錄評估結果並提交給管理層。團隊中定義某些活動工作流程的方面至關重要,例如人力資源、行政流程、自動化系統和物理安全。

  • 設定專案的範圍 - 評估團隊應在開始時識別評估專案的目標、要評估的部門或功能事件、團隊成員的職責、要採訪的人員、要使用的標準、要檢查的文件以及要檢查的操作。

  • 識別評估涵蓋的資產 - 資產可能包括但不限於人員、硬體、軟體、資料(例如敏感性和關鍵性的分類)、設施以及保護這些資產的當前控制措施。識別與在範圍內確定的評估專案相關的所有資產至關重要。

  • 對潛在損失進行分類 - 它可以識別某些型別的資產損壞可能導致的損失。損失可能源於物理損壞、拒絕服務、更改、未經授權的訪問或披露。損失可能是無形的,包括組織信譽的損失。

  • 識別威脅和漏洞 - 威脅是指利用漏洞攻擊資產的事件、程式、活動或過程。它涉及自然威脅、意外威脅、人為意外威脅和人為惡意威脅。這些可能包括電源故障、生物汙染或有害化學物質洩漏、特徵行為或硬體/軟體故障、資料消除或完整性丟失、破壞或盜竊或破壞。

    漏洞是威脅將利用來攻擊資產的弱點。可以透過在資料收集過程中解決以下問題來識別漏洞,例如物理安全、環境、系統安全、通訊安全、人員安全、計劃、政策、流程、管理、支援等。

  • 識別現有控制措施 - 控制措施是降低威脅利用漏洞嚴重攻擊資產的機率的安全措施。它可以識別當前執行的安全措施,並確定它們在當前分析中的有效性。

  • 分析資料 - 在此步驟中,將使用所有收集到的資料來確定正在考慮的資產的實際風險。分析資料的一種方法包括準備資產記錄並顯示相應的威脅、損失型別和漏洞。對這些資料的分析應包括對潛在損失可能頻率的評估。

更新時間: 2022年3月3日

4K+ 瀏覽量

開啟你的 職業生涯

透過完成課程獲得認證

開始學習
廣告

© . All rights reserved.