@Haggard
2年前 提问
1个回答
企业网络安全存在风险什么时间评估
Anna艳娜
2年前
如果企业网络安全已经存在风险那建议在每个季度找一个时间进行评估,根据《网络安全法》规定,关键信息基础设施运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估。而已经知道当前网络环境已经存在风险那尽量还是每个季度进行一次评估,加强网络安全,如果预算不够也要保证半年进行一次评估。
风险评估涉及资产、威胁、脆弱性等基本要素。每个要素有各自的属性,资产的属性是资产价值(重要性);威胁的属性是威胁出现频率;脆弱性的属性是脆弱性的严重程度。风险评估的主要内容为:
对资产进行识别,并对资产的重要性进行赋值;
对威胁进行识别,描述威胁的属性,并对威胁出现的频率赋值;
对资产的脆弱性进行识别,并对具体资产脆弱性的严重程度赋值;
根据威胁和脆弱性的识别结果判断安全事件发生的可能性;
根据脆弱性的严重程度及安全事件所作用资产的重要性计算安全事件的损失;
根据安全事件发生的可能性以及安全事件的损失,计算安全事件一旦发生对组织的影响,即风险值。