超级会员免费看
信息安全风险管理与计划制定全解析
1. 信息安全风险评估基础
在信息安全领域,风险评估是保障组织信息安全的关键步骤。首先,我们需要识别威胁和漏洞,并将它们进行合理配对。以下是一些常见的威胁 - 漏洞对示例:
| 漏洞 | 威胁 | 威胁源 |
| — | — | — |
| 存储机制非冗余 | 存储故障 | 结构(IT 设备) |
| 仅使用单一互联网服务提供商 | 互联网中断 | 结构(IT 设备) |
| 信息系统无用户行为监控机制 | 内部威胁 | 人 |
| 无特权访问管理机制 | 内部威胁(特权用户) | 人 |
| 开发和测试服务器置于互联网且被遗忘 | 外部黑客攻击 | 人 |
| 数据中心使用湿式喷水灭火系统 | 火灾 | 自然灾害 |
1.1 估计可能性
确定给定漏洞被威胁源利用的可能性至关重要。为了简化决策过程,建议将可能性分为三个类别:高、中、低。
- 高 :威胁源能力强且有动机,现有安全控制无效。
- 中 :威胁源有能力和动机,现有安全控制可能阻碍漏洞的成功利用。
- 低 :威胁源能力或动机不足,安全控制可阻碍漏洞的成功利用。
1.2 估计影响
组织可能遭受的影响包括信息的未经授权修改、盗窃、破坏以及信息系统可用性的丧失。同样,建议将影响分为高、中、低三个类别:
- 高 :事件预计会对组织运营和/或资产造成多重、严重或灾难性的不利影响。
订阅专栏 解锁全文
扫一扫
8927
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
