索罗笔记-信息安全工程师-1.3.3信息安全风险评估与管理
1.3.3 信息安全风险评估与管理
1.3.3.1风险评估
(三星考点)风险评估具体评估过程:1、确定资产;2、脆弱性和威胁分析;3、制定及评估控制措施;4、决策;5、沟通与交流;6、监督实施。
风险评估的方法有很多种,概括起来可分为三大类:定量的风险评估方法、定性的风险评估方法、定性与定量相结合的评估方法。
定量的评估方法是指运用数量指标来对风险进行评估。典型的定量分析方法有因子分析法、聚类分析法、时序模型、回归模型、等风险图法、决策树法等。
层次分析法是一种综合的评估方法,是一种定性与定量相结合的多目标决策分析方法。基本步骤是1、系统分解;2、安全性判断;3、层次总排序,综合判断。
1.3.3.2风险管理
所谓风险管理就是以可以接受的费用识别、控制、降低或消除可能影响信息系统的安全风险的过程。
风险管理还应考虑控制费用与风险之间的平衡。
通过风险评估对风险进行识别和评价后,风险管理的下一步工作就是对风险实施安全控制,以确保风险被降低或消除。
一般可以通过以下途径达到降低风险的目的:
1、避免风险;2、转移风险;3、减少威胁;4、减少脆弱性;5、减少威胁可能的影响;6、检测意外事件,并做出响应和恢复。
风险接受是一个对残存风险进行确认和评价的过程。
组织在完成了包括风险评估,降低风险和风险接受的风险管理过程之后,可以将风险控制在一个可以接受的水平,但并不意味着风险管理工作的结束。