成功执行数据安全风险评估的3个步骤

admin 2022年11月9日11:34:49评论56 views字数 2020阅读6分44秒阅读模式

前面,我们整理了国外的《数据安全风险评估清单》,也就是希望从只言片语中寻找国外关于数据安全风险评估的蛛丝马迹,今天我们继续分享国外有关数据安全风险评估的另一篇博文。

成功执行数据安全风险评估的3个步骤

在国外,包括 GDPR 在内的众多合规性要求规定,数据安全风险评估应成为 IT 安全战略的常规部分。然而,这些授权通常对风险评估的含义非常模糊。例如,GDPR 规定组织必须采取“基于风险的方法”来保护欧盟公民的数据,但没有详细说明这可能意味着什么。而在我国《数据安全法》中,明确了数据安全风险评估。
因此,IT 团队通常意识到定期 IT 风险评估是IT 安全的必要组成部分,但不知道如何以保证合规性的方式处理它们。最好不要将风险评估视为合规的必要步骤,而应将其视为确保数据安全的基本部分。数据安全风险评估可帮助组织了解敏感数据的位置、有权访问它的人员以及围绕它发生的变化。

成功的数据安全风险评估通常可以分为三个步骤:

  1. 确定关键系统和敏感数据面临的风险

  2. 根据相关风险的权重识别和组织您的数据

  3. 采取措施降低风险

在许多方面,这三个步骤是相互交织的,但我已经将它们分解,以便我们可以更轻松地解决它们。

成功执行数据安全风险评估的3个步骤

步骤 1. 识别关键系统和数据的风险

“风险”的概念是一个难以定义的概念,因为它会根据系统的关键程度或所涉及数据的性质而有所不同。计算风险有很多因素,包括面临的威胁、系统对这种威胁的脆弱程度以及相关数据的重要性。

1.1 识别威胁

首先要做的是确定您面临的威胁。威胁可以定义为会损害您的组织的任何事物,从地震到系统完全关闭。威胁可以采取多种形式,因此花点时间了解所有可能性非常重要。不要忘记从内部考虑处理,因为人为错误、意外误用和恶意内部人员在所有安全漏洞中占非常高的比例。

1.2 评估漏洞
接下来,对刚才概述的威胁有多脆弱?漏洞是威胁可以用来破坏系统和数据的弱点。漏洞可以通过审计、测试系统和其他审查发现。多久在全公司范围内修补和更新软件?服务器机房是否易于访问?密码多久更改一次?员工多久接受一次安全意识培训?这些是应该涉及到的问题。

步骤 2. 根据风险识别和组织数据

IT 风险评估最重要的部分之一是能够了解最敏感的数据在 IT 环境中的位置,以及哪些文件和文件夹包含最关键的信息。如果文件包含名称,则将其视为个人身份信息,但就其本身而言,它对潜在的攻击者毫无用处。但是,如果同一文件包含完整的地址和信用卡信息,则该文件被破坏的潜在风险突然急剧增加。
使用第三方发现和分类解决方案(例如数据安全平台)或文件服务器资源管理器 (FSRM) 的发现和分类功能,可以发现、标记和分类非结构化数据以找出它所在的位置,并且哪些文件和文件夹是最关键的。
对于确定为有价值的每项资产,需要收集有关您如何存储/处理/保护它的信息,以便更好地了解所涉及的风险(例如,它存储在哪里?谁有权访问它?什么?是否有保护它的政策?)。根据失去它的相关成本,将这些资产从最关键到最不关键排序。


步骤 3. 采取行动降低风险

在确定了哪些数据存在风险以及这些风险是什么之后,需要查看当前有哪些控制措施来弥补漏洞。控制可以是物理的也可以是虚拟的,从安全卫士到防火墙和审计解决方案。
掌握所有这些信息后,应该可以评估安全威胁对组织可能产生的可能性和影响。这主要是一个估计,但它会从之前所做的所有工作中得到信息。
使用对威胁可能性的评估,可以建议因此需要实施哪些控制措施。通过记录数据安全风险评估的所有步骤和结果,可以了解每个部门需要采取哪些措施来缓解威胁。根据它们的重要性对这些操作进行优先级排序,应该能够在面前看到一个路线图,以实现更好的 IT 安全性和合规性。
  1. 开启等级保护之路:GB 17859网络安全等级保护上位标准
  2. 网络安全等级保护:等级保护测评过程及各方责任
  3. 网络安全等级保护:政务计算机终端核心配置规范思维导图
  4. 网络安全等级保护:什么是等级保护?
  5. 网络安全等级保护:信息技术服务过程一般要求
  6. 闲话等级保护:网络安全等级保护基础标准(等保十大标准)下载
  7. 闲话等级保护:什么是网络安全等级保护工作的内涵?
  8. 闲话等级保护:网络产品和服务安全通用要求之基本级安全通用要求
  9. 闲话等级保护:测评师能力要求思维导图
  10. 闲话等级保护:应急响应计划规范思维导图
  11. 闲话等级保护:浅谈应急响应与保障
  12. 闲话等级保护:如何做好网络总体安全规划
  13. 闲话等级保护:如何做好网络安全设计与实施
  14. 闲话等级保护:要做好网络安全运行与维护
  15. 闲话等级保护:人员离岗管理的参考实践
  16. 信息安全服务与信息系统生命周期的对应关系
  17. 工业控制系统安全:信息安全防护指南
  18. 工业控制系统安全:工控系统信息安全分级规范思维导图
  19. 工业控制系统安全:DCS防护要求思维导图
  20. 工业控制系统安全:DCS管理要求思维导图
  21. 工业控制系统安全:DCS评估指南思维导图
  22. 工业控制安全:工业控制系统风险评估实施指南思维导图
  23. 工业控制系统安全:安全检查指南思维导图(内附下载链接)
  24. 工业控制系统安全:DCS风险与脆弱性检测要求思维导图

原文始发于微信公众号(河南等级保护测评):成功执行数据安全风险评估的3个步骤

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年11月9日11:34:49
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   成功执行数据安全风险评估的3个步骤https://cn-sec.com/archives/1397287.html

发表评论

匿名网友 填写信息