22、信息安全评估与工具全解析

信息安全评估与工具全解析

在当今数字化时代，信息安全至关重要。信息安全主要有三个目标：保密性、完整性和可用性。这些目标可通过评估活动来衡量，而评估活动又是风险管理过程的重要输入。

评估活动包括风险评估、漏洞评估、威胁评估、自我评估和审计等。其中，风险评估是最全面的评估活动，但其他评估也各有其适用场景。任何评估活动的输出都是详细报告所发现的问题，这些问题必须能够追溯到成功利用漏洞可能导致的业务功能或业务影响。之后，可利用CVE数据库（如果可用）对每个发现的问题进行优先级排序，排序结果将成为改善安全态势的路线图。

路线图应包含修复问题所需的资源以及跟踪进度的方法。NSA IPR被认为是跟踪漏洞管理进度的最佳方法。漏洞管理不仅包括补丁管理，还能帮助管理者了解网络资产、识别弱点、衡量安全控制的有效性、执行策略以及评估补丁工作的成效。虽然信息安全和安全态势的识别不会直接带来投资回报，但可以避免成本损失。

以下是一些常见问题及解答：
|问题|解答|
| ---- | ---- |
|为什么要关注我们的安全态势？|简短的答案是责任和风险管理。积极采取风险管理方法的公司将降低无法满足监管合规要求的可能性。了解安全态势有助于管理层有效分配资源，以实现业务和安全目标。|
|如果想与联邦政府合作，应该阅读什么？|应阅读2002年的《联邦信息安全管理法案》（FISMA）以及FISMA文件中讨论的相关文件。|
|公司目前支持DITSCAP流程，为什么本章未涵盖？|DITSCAP已被DIACAP取代，过渡过程可在DITSCAP网站（http://iase.disa.mil ，点击DIACAP）上查看。|
|能否使用除保密性、完整性和可用性之外的更多安全