成功执行数据安全风险评估的3个步骤

2022年11月9日11:34:49评论69 views字数 2020阅读6分44秒阅读模式

前面，我们整理了国外的《数据安全风险评估清单》，也就是希望从只言片语中寻找国外关于数据安全风险评估的蛛丝马迹，今天我们继续分享国外有关数据安全风险评估的另一篇博文。

成功执行数据安全风险评估的3个步骤

在国外，包括 GDPR 在内的众多合规性要求规定，数据安全风险评估应成为 IT 安全战略的常规部分。然而，这些授权通常对风险评估的含义非常模糊。例如，GDPR 规定组织必须采取“基于风险的方法”来保护欧盟公民的数据，但没有详细说明这可能意味着什么。而在我国《数据安全法》中，明确了数据安全风险评估。

因此，IT 团队通常意识到定期 IT 风险评估是IT 安全的必要组成部分，但不知道如何以保证合规性的方式处理它们。最好不要将风险评估视为合规的必要步骤，而应将其视为确保数据安全的基本部分。数据安全风险评估可帮助组织了解敏感数据的位置、有权访问它的人员以及围绕它发生的变化。

成功的数据安全风险评估通常可以分为三个步骤：

在许多方面，这三个步骤是相互交织的，但我已经将它们分解，以便我们可以更轻松地解决它们。

成功执行数据安全风险评估的3个步骤

步骤 1. 识别关键系统和数据的风险

“风险”的概念是一个难以定义的概念，因为它会根据系统的关键程度或所涉及数据的性质而有所不同。计算风险有很多因素，包括面临的威胁、系统对这种威胁的脆弱程度以及相关数据的重要性。

1.1 识别威胁

首先要做的是确定您面临的威胁。威胁可以定义为会损害您的组织的任何事物，从地震到系统完全关闭。威胁可以采取多种形式，因此花点时间了解所有可能性非常重要。不要忘记从内部考虑处理，因为人为错误、意外误用和恶意内部人员在所有安全漏洞中占非常高的比例。

1.2 评估漏洞

接下来，对刚才概述的威胁有多脆弱？漏洞是威胁可以用来破坏系统和数据的弱点。漏洞可以通过审计、测试系统和其他审查发现。多久在全公司范围内修补和更新软件？服务器机房是否易于访问？密码多久更改一次？员工多久接受一次安全意识培训？这些是应该涉及到的问题。

IT 风险评估最重要的部分之一是能够了解最敏感的数据在 IT 环境中的位置，以及哪些文件和文件夹包含最关键的信息。如果文件包含名称，则将其视为个人身份信息，但就其本身而言，它对潜在的攻击者毫无用处。但是，如果同一文件包含完整的地址和信用卡信息，则该文件被破坏的潜在风险突然急剧增加。

使用第三方发现和分类解决方案（例如数据安全平台）或文件服务器资源管理器 (FSRM) 的发现和分类功能，可以发现、标记和分类非结构化数据以找出它所在的位置，并且哪些文件和文件夹是最关键的。

对于确定为有价值的每项资产，需要收集有关您如何存储/处理/保护它的信息，以便更好地了解所涉及的风险（例如，它存储在哪里？谁有权访问它？什么？是否有保护它的政策？）。根据失去它的相关成本，将这些资产从最关键到最不关键排序。

在确定了哪些数据存在风险以及这些风险是什么之后，需要查看当前有哪些控制措施来弥补漏洞。控制可以是物理的也可以是虚拟的，从安全卫士到防火墙和审计解决方案。

掌握所有这些信息后，应该可以评估安全威胁对组织可能产生的可能性和影响。这主要是一个估计，但它会从之前所做的所有工作中得到信息。

使用对威胁可能性的评估，可以建议因此需要实施哪些控制措施。通过记录数据安全风险评估的所有步骤和结果，可以了解每个部门需要采取哪些措施来缓解威胁。根据它们的重要性对这些操作进行优先级排序，应该能够在面前看到一个路线图，以实现更好的 IT 安全性和合规性。

原文始发于微信公众号（河南等级保护测评）：成功执行数据安全风险评估的3个步骤

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。