超级会员免费看
信息安全风险管理与认证评估全解析
1. 风险管理概述
风险管理是组织运营中的关键环节,尤其是在信息安全领域。风险评估的输入来源广泛,其中组织风险框架是重要来源之一,它为风险管理策略奠定了基础。风险管理策略涵盖了进行风险评估的政策、要求、具体评估方法、选择风险因素的程序、评估范围、分析严谨性、正式程度以及确保组织内风险确定一致性和可重复性的要求。
1.1 风险评估方法
风险评估方法是风险管理策略的组成部分,包括风险评估过程的定义、风险模型(风险因素及其关系)、评估方法(定量、定性或半定量)和分析方法(面向威胁、面向资产/影响或面向漏洞)。
1.2 应对风险
应对风险的步骤包括识别行动方案、评估替代行动方案以及选择和实施行动方案。这些活动在风险管理层次结构的各个级别进行,不同的活动可能在不同的层级执行。例如,风险响应识别可能需要考虑组织范围的影响,因此可能在第一层执行;而评估替代行动方案可能需要评估对任务/业务流程的影响,因此可能在第二层执行。无论活动在哪个层级执行,风险决策都需要从其他风险管理流程中获取共享和沟通的输入。
1.3 监控风险
风险管理过程的最后一步是监控风险。这包括定义风险监控计划的目的、监控类型(如自动与手动)和监控活动的频率。风险监控为组织提供了验证合规性、确定风险响应措施的持续有效性以及识别对组织信息系统和运营环境有影响的风险变化的手段。
2. NIST与ISO/IEC风险管理流程比较
许多组织都发布了风险管理方法,这里将简要比较美国国家标准与技术研究院(NIST)和国际标准化组织/国际电工委员会(ISO/IEC)发布的方法。
订阅专栏 解锁全文
扫一扫
867
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
