定义
基本概念:信息安全风险评估是参照风险评估标准和管理规范,对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析,判断安全事件发生的概率以及可能造成的损失,提出风险管理措施的过程。
背景及参考依据:《信息安全风险评估指南》及《信息安全风险管理指南》标准草案的制定,并在其中规定了信息安全风险评估的工作流程、评估内容、评估方法和风险判断准则,对规范我国信息安全风险评估的做法具有很好的指导意义,GBT 20984-2022 《信息安全技术 信息安全风险评估方法》描述了信息安全风险评估的基本概念、风险要素关系、风险分析原理、风险评估实施流程和平估方法,以及风险评估在信息系统生命周期不同阶段的实施要点和工作形式。GB-T 31509-2015 《信息安全技术 信息安全风险评估实施指南》规定了信息安全风险评估实施的过程和方法,用于各类安全评估机构或被评估组织对非涉密信息系统的信息安全风险评估项目的管理,指导风险评估项目的组织、实施、验收等工作。
其核心步骤包括:
-
资产识别:确定需保护的硬件、数据、软件等资源。
-
威胁分析:识别可能利用漏洞的外部攻击或内部失误。
-
脆弱性评估:检测系统、流程中的安全弱点。
-
影响评估:预测威胁发生后的财务、声誉等损失。
-
风险计算:综合威胁可能性与影响程度,确定风险优先级。
1. 网络安全风险评估核心要素表
| 要素 | 说明 |
|---|---|
| 定义 |
|
| 核心步骤 |
|
| 目标 |
|
2. 风险评估依据标准表
| 标准类型 | 标准名称 | 适用范围 | 关键要求 |
|---|---|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
3. 常用风险评估模型对比表
| 模型 | 特点 | 适用场景 | 示例 |
|---|---|---|---|
| 定性/定量分析 |
定量:数据驱动(如ALE= SLE×ARO)。 |
|
定量:金融行业损失预测。 |
| OCTAVE |
|
|
|
| FAIR |
|
|
|
| ISO 27005 |
|
|
|
| Attack Tree |
|
|
|
| CVSS |
|
|
|
4. 实施建议速查表
| 场景 | 推荐方案 |
|---|---|
| 标准选择 |
|
| 模型搭配 |
|
| 工具辅助 |
手动分析:Attack Tree建模、Excel计算定量风险。 |
-
END
关于我们 诚信合作、专业高效、服务优质 01 工作室简介
飞度计算机网络咨询工作室是一家微小型工作室,成立于2024年3月,致力于网络安全等保测评、商用密码评估领域考试题库研究、题库制作以及公众号运营等,为广大朋友提供考证刷题小程序、网络安全社区小程序等相关服务,正努力以优质的服务为大家提供越来越优质的多元化服务。
非招标项目(网络安全等保测评、网络安全商密评估、网络安全风险评估、网络安全产品推广、网络安全渗透测试、网络安全系统集成)均可以联系我。我们可以协助您找到具有相应实力的公司来完成。目前,我已经成功为十多家公司对接了厂商和测评机构,并且不(主动)收取任何中介费。
02 主营业务
网络安全等保测评、网络安全商密评估、网络安全风险评估、网络安全产品推广、网络安全渗透测试、网络安全系统集成、等保密评考试刷题、微信小程序开发、行业招聘广告发布等。
03 联系我们
微信号:th0987667891
公众号(一):网络安全与等保测评
公众号(二):等保测评和商密评估
原文始发于微信公众号(网络安全与等保测评):网安科普||什么是网络安全风险评估,风评依据标准与模型解析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论