基于资产半定量风险评估方法多应用于信息安全管理体系(ISMS)建设及ISO27001认证,该评估方法相对于定性评估来讲,资产识别更加详细,风险计算更加合理,逻辑也更加严密成体系。 本文就以资产识别、威胁评估、弱点评估、风险评价、风险处置、评价残余风险六个阶段步骤,来介绍基于资产半定量风险评估方法。 一、资产识别
除了以上资产关键信息外,为了后续风险评估及安全管理的便利性,在识别资产过程中还可以对资产用途、资产位置等信息进行识别。 所谓威胁是指可能对保护资产产生破坏影响的因素,一般认为是某个威胁源将利用某种手段产生了威胁,威胁分为人为威胁、非人为威胁,人为威胁分为恶意、无意两类,非人为威胁分为自然、环境两类。 在进行威胁程度赋值时,需要识别是否已经存在特定的控制措施,能够消减此项风险因素,现有控制措施的评估结果,可以直接影响威胁程度的大小。 三、弱点评估 弱点可以被一个或多个威胁所利用对组织产生损害,弱点分为管理弱点、技术弱点两类,其中管理弱点为评估对象相关的策略及流程方面的弱点,技术弱点包括技术设计与实现缺陷、参数配置等方面的弱点。 在进行弱点程度赋值时,需要识别是否已经存在特定的控制措施,能够消减此项风险因素,现有控制措施的评估结果,可以直接影响弱点程度的大小。 四、风险评价 根据风险的影响程度和当前的实际情况﹐对确定的风险可以采取风险处置策略和相应的处置措施。
风险控制措施从针对性和实施方式来看,分为管理性(Administrative)、操作性(Operational)和技术型(Technical)三类;从从功能来看,控制措施类型包括威慑性(Deterrent)、预防性(Preventive)、检测性(Detective)、纠正性(Corrective)四类。 不管是哪种风险处置措施,最终都是通过降低风险因素(资产、威胁、弱点)程度和风险影响来控制风险。当然,这其中弱点是最好控制的,绝大多数(不是全部)风险处置,都是通过降低弱点程度,来降低风险程度。 六、评价残余风险
对残留风险进行确认和评价的过程,其实就是风险接受的过程。评估者可以根据风险评估的结果来确定一个阈值,以该阈值作为是否接受残留风险的标准。 |
|