古詩詞大全網 - 成語經典 - 如何高效地進行信息安全風險評估

如何高效地進行信息安全風險評估

在風險評估和評價階段,項目組成員應把大部分精力放在風險項的識別和等級定義上。除了依賴實施者的信息安全評估經驗外,使用有效的方法和工具來提高實施的效率和準確性也具有重要意義。

1.建立有效的風險分析模型。

在風險評估過程中,atsec使用的風險分析模型將包括多個層次,以便更有效地進行風險評估。模型方法如下:風險發生的可能性、初始控制措施、風險發生對客戶業務的影響、風險發生對客戶品牌的影響、風險發生對客戶收益的影響。對於具體的分析過程,評估師會根據訪談、滲透、相關信息輸入,從品牌、收入、客戶的影響入手。每個選項的分配是根據方法中的標準確定的。下圖顯示了整個風險評估過程中對數據庫和應用系統的威脅示例:

2.使用半定量風險計算方法。

因為威脅本身是不斷變化的,難以衡量,所以建議明智地使用半定量測試方法。在具體實施過程中,atsec的做法是對每個威脅的評估結果進行半定量評級,並通過風險計算方法進壹步使最終的評估結果更加準確。由於篇幅原因,這裏不展開具體的風險計算方法。

3.使用自動化風險計算工具。

基於風險評估,在實施過程中,atsec使用自主開發的計算工具,最大限度地減少風險計算占用的工作量。

4、最大限度地利用輔助工具

在評估技術威脅的過程中,比如關鍵賬戶和密碼的安全性,通常很難通過管理層面談做出準確的判斷。在類似的過程中,atsec會盡可能地使用各種輔助工具和手段,比如密碼安全驗證、服務器的技術漏洞等。