风险评估
0x00
准备阶段
资产识别
威胁识别
脆弱性识别
已有安全措施
风险分析
文档
0x01 准备阶段
确定风险评估的目标
确定风险评估的范围
组建适当的评估管理与实施团队
进行系统调研;确定评估依据和方法
获得最高管理者对风险评估工作的支持
0x02 资产识别
资产分类
数据
软件
硬件
服务
人员
其他
保密性赋值
完整性赋值
可用性赋值
判定资产的重要等级
威胁分类 :
物理环境
软硬件故障
无作为,操作失误
管理不到位
恶意代码
越权,滥用
络攻击
物理攻击
泄密
篡改
抵赖
威胁赋值
0x04 脆弱性识别
技术脆弱性:
物理环境
络结构
系统软件
应用中间件
应用系统
管理脆弱性:
技术管理
组织管理
脆弱性赋值
0x05 已有安全措施确认
0x06 风险分析
风险值的计算:
风险值=R(A,T,V)= R(L(T,V),F(Ia,Va ))
其中,R 表示安全风险计算函数;A 表示资产;T 表示威胁;V 表示脆弱性; Ia 表示安全事件所作
用的资产价值;Va 表示脆弱性严重程度;L 表示威胁利用资产的脆弱性导致安全事件发生的可能性;F表示安全事件发生后产生的损失。
风险结果判定
风险处理计划
残余风险评估
0x07 文档记录
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!