【摘要】:2.2.2 详细风险评估详细风险评估要求对资产、威胁和脆弱点进行详细识别和评价,并对可能引起风险的水平进行评估,这通过不期望事件的潜在负面业务影响评估和它们发生的可能性来完成。详细评估的优点是:有可能为所有系统识别出适当的安全措施;详细分析的结果可用于安全变更管理。目前,世界各国推出的风险评估方法多属于这一类,如AS/NZS 4360、NISTSP800-30、OCTAVE以及我国的《信息安全风险评估指南》中所提供的方法。
2.2.2 详细风险评估
详细风险评估要求对资产、威胁和脆弱点进行详细识别和评价,并对可能引起风险的水平进行评估,这通过不期望事件的潜在负面业务影响评估和它们发生的可能性来完成。不期望事件可能表现为直接形式,如物理设备的破坏;也可能表现为间接的影响,如法律责任、公司信誉及形象的损失等。不期望事件发生的可能性依赖于资产对于潜在攻击者的吸引力、威胁出现的可能性以及脆弱点被利用的难易程度。根据风险评估的结果来识别和选择安全措施,将风险降低到可接受的水平。
详细评估的优点是:
(1)有可能为所有系统识别出适当的安全措施;
(2)详细分析的结果可用于安全变更管理。
详细评估的缺点是需要更多的时间、努力和专业知识。
目前,世界各国推出的风险评估方法多属于这一类,如AS/NZS 4360、NISTSP800-30、OCTAVE以及我国的《信息安全风险评估指南》中所提供的方法。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。