§16.1_风险评估工作基本过程

Categories:

• Wiki

  少于1分钟  

网络安全风险评估概述

资产、威胁、脆弱性、安全措施、风险……

网络安全风险评估工作基本过程

范围必须先确定好，否则可能面临需求的无限扩大。

评估准备、资产识别

👆保密性赋值

价值不是资产的实际售价，而是遭受保密性、完整性和可用性损害之后对信息系统造成的损失。

评估准备后资产识别，

威胁识别

然后是威胁识别-自然威胁和人为威胁。

非法访问 读 破坏机密性 写 破坏完整性

拒绝服务 破坏可用性

欺骗 破坏可控性

脆弱性识别

脆弱性识别 以资产为核心

已有网络安全措施分析

网络安全风险分析

定性 低、中、高危

定量 12345分

、

风险处置与管理

安全风险管理的控制措施，背等保的内容就行。

制订安全策略建立安全组织（团队）、资产分类、加强人员管理、保证物理和环境安全、加强通信安全运行、采取访问控制机制、进行安全系统开发与维护、保证业务持续运行、遵守法律法规、安全目标一致性检查。

安全管理制度

安全管理人员

安全管理机构

安全运维管理

安全建设管理