【摘要】:考虑到我国《信息安全风险评估指南》推出最晚,它是在参考世界各国风险评估有关标准基础上,结合风险评估在我国的实践经验,有一定代表性,且可操作性强,易于指导风险评估活动在我国的广泛开展,因而本节主要以我国《信息安全风险评估指南》为依据,阐述风险评估实施各步骤的主要内容,同时适当结合国际上其他标准。我国的《信息安全风险评估指南》提出的风险评估流程如图2-4所示。
2.3.1 风险评估流程概述
AS/NZS 4360、NISTSP800-30、OCTAVE以及我国的《信息安全风险评估指南》提供的风险评估方法基本都属于详细风险评估,虽然具体流程有一定的差异,但都是围绕资产、威胁、脆弱点识别与评估展开,并进一步分析不期望事件发生的可能性及其对组织的影响,最后考虑如何选取合适的安全措施,把安全风险降低到可以接受的程度。总体上看,风险评估可分为四个阶段:第一阶段为风险评估准备;第二阶段为风险识别,包括资产识别、威胁识别、脆弱点识别等工作;第三阶段为风险评价,包括风险的影响分析、可能性分析以及风险的计算等,具体涉及资产、威胁、脆弱点、当前安全措施的评价等;第四阶段为风险处理,主要工作是依据风险评估的结果选取适当的安全措施,将风险降低到可接受的程度。
考虑到我国《信息安全风险评估指南》推出最晚,它是在参考世界各国风险评估有关标准基础上,结合风险评估在我国的实践经验,有一定代表性,且可操作性强,易于指导风险评估活动在我国的广泛开展,因而本节主要以我国《信息安全风险评估指南》为依据,阐述风险评估实施各步骤的主要内容,同时适当结合国际上其他标准。我国的《信息安全风险评估指南》提出的风险评估流程如图2-4所示。
图2-4 风险评估实施流程图
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
