信息网络安全风险评估的方法
信息网络安全风险评估的方法:
确定信息价值:大多数组织没有无限的信息风险管理预算,因此最好将您的范围限制在最关键的业务资产上。为了以后节省时间和金钱,请花一些时间来定义确定资产重要性的标准。大多数组织都包括资产价值、法律地位和业务重要性。一旦该标准正式纳入组织的信息风险管理政策,就可以使用它来将每项资产分类为关键、主要或次要资产。
确定资产并确定其优先级:第一步是确定要评估的资产并确定评估范围。这将使您能够确定要评估的资产的优先级。您可能不想对每个建筑物、员工、电子数据、商业机密、车辆和办公设备进行评估。并非所有资产都具有相同的价值。您需要与业务用户和管理人员一起创建所有有价值资产的列表。对于每项资产,在适用的情况下收集软件、硬件、数据、界面、终端用户、支持个人、目的、危急程度、功能要求、信息技术安全政策、IT安全架构、网络拓扑结构、信息存储保护、信息流、技术安全控制、物理安全控制、环境安全信息。
识别网络威胁:网络威胁是指任何可被利用来破坏安全以造成伤害或从您的组织窃取数据的漏洞。虽然会想到黑客、恶意软件和其他 IT 安全风险,但还有许多其他威胁。
识别漏洞:漏洞是威胁可以利用来破坏安全、损害您的组织或窃取敏感数据的弱点。通过漏洞分析、审计报告、美国国家标准与技术研究院 (NIST)漏洞数据库、供应商数据、事件响应团队和软件安全分析发现漏洞。
分析控制并实施新控制:分析现有的控制措施,以最大限度地减少或消除威胁或漏洞的可能性。控制可以通过技术手段实现,例如硬件或软件、加密、入侵检测机制、双因素身份验证、自动更新、持续数据泄漏检测,或通过非技术手段,例如安全策略和物理机制,例如锁或钥匙卡访问。控制应分类为预防性或检测性控制。预防性控制尝试阻止加密、防病毒或持续安全监控等攻击,检测性控制尝试发现攻击何时发生,如持续数据暴露检测。
每年计算各种情景的可能性和影响:了解了信息价值、威胁、漏洞和控制措施,下一步是确定这些网络风险发生的可能性以及发生时的影响。
根据预防成本与信息价值对风险进行优先排序:以风险级别为基础,确定高级管理人员或其他负责人采取的措施以减轻风险。
记录风险评估报告的结果:最后一步是制定风险评估报告,以支持管理层就预算、政策和程序做出决策。对于每个威胁,报告应描述风险、漏洞和价值。以及发生的影响和可能性以及控制建议。在您完成此过程时,您将了解您的公司运营哪些基础架构、您最有价值的数据是什么,以及如何更好地运营和保护您的业务。然后,您可以创建风险评估策略,定义您的组织必须定期执行哪些操作来监控其安全状况、如何解决和减轻风险,以及您将如何执行下一个风险评估过程。