1,風險評估準備
該階段的主要任務是制定評估工作計劃,包括評估目標、評估範圍和安全風險評估工作計劃。根據評估工作需要,對團隊進行評估,明確各方責任。
2.資產識別流程
資產鑒定主要通過向被評估方發放資產調查表來完成。在進行資產評估時,以被評估方提供的資產清單為基礎,對重要和關鍵資產進行標註,並對評估範圍內的資產進行詳細分類。根據資產的表現形式,資產可以分為數據、軟件、硬件、服務和人員。
根據資產在機密性、完整性和可用性方面的不同要求,為資產分配機密性、完整性、可用性和資產重要性。
3.威脅識別流程
在威脅評估階段,評估人員通過結合常見的人為威脅、其可能的動機、可利用的弱點、可能的攻擊方法和後果來識別威脅源。完成威脅識別後,還應該評估威脅的可能性,將其列為威脅列表,描述威脅屬性,並分配威脅的頻率。
4.漏洞識別過程
漏洞分為管理漏洞和技術漏洞。管理漏洞主要通過手機發布管理漏洞問卷、訪談、分析現有管理制度來完成;技術漏洞主要通過專業的漏洞檢測工具,以及對評估範圍內各種軟硬件安全配置的檢查來識別。漏洞識別完成後,應該分配特定資產的漏洞嚴重性。該值越大,漏洞嚴重性越高。
5.現有安全措施的確認
安全措施可分為預防性安全措施和保護性安全措施。預防性安全措施可以降低因威脅的脆弱性而引發安全事件的可能性,如入侵檢測系統;保護性安全措施可以減少安全事故對組織或系統造成的影響。
6.風險分析流程
上述步驟完成後,將使用適當的方法和工具進行安全風險分析和計算。可以根據自身情況選擇相應的風險計算方法來計算風險值,如矩陣法或乘法。如果風險值在可接受範圍內,則將風險更改為可接受風險;如果風險值在可接受的範圍之外,則需要采取安全措施來降低控制風險。