信息安全风险管理
系统外部可能造成的损害,称为威胁;系统内部可能造成的损害,称为脆弱性。系统风险则是威胁利用脆弱性造成损坏的可能性。
蛋的裂缝可以看作“鸡蛋”系统的脆弱性,而苍蝇可以看作威胁,苍蝇叮有缝的蛋表示威胁利用脆弱性造成了破坏。
风险评估
风险评估就是依据评估标准,利用评估的方法、技术和工具,对系统中资产、威胁、脆弱性所带来风险的发小,以及可能的控制措施的全面评估。在项目管理理论中,风险评估在风险分析和风险监控中常常用到。
对信息系统进行风险评估,首先要确保评估和分析的内容、范围应该覆盖真个信息系统的体系。系统体系包括:系统基本情况分析、系统安全状况调查、系统安全组织、政策分析、系统弱点漏洞分析等。
风险评估的过程包括风险评估准备、风险因素识别、风险程度分析和风险等级评价四个阶段。
风险评估的方法由定性风险评估、定量风险评估、定量与定性结合的风险评估。
- 定性风险评估:评估、汇总风险发生的概率和影响,并对风险进行排序。
- 定量风险评估:定量分析已识别风险对项目的整体影响。
- 定量与定性结合的风险评估:常用的方法由层次分析法,核心是将决策者的经验判断进行量化,并提供定量的决策依据。层次分析法的基本步骤