信息安全风险评估的基本过程包括哪些阶段

发布网友 发布时间：2022-04-19 16:01

我来回答

共4个回答

热心网友 时间：2022-03-30 01:53

网络安全风险评估的过程主要分为：风险评估准备、资产识别过程、威胁识别过程、脆弱性识别过程、已有安全措施确认和风险分析过程六个阶段。
1、风险评估准备
该阶段的主要任务是制定评估工作计划，包括评估目标、评估范围、制定安全风险评估工作方案。根据评估工作需要，组件评估团队，明确各方责任。
2、资产识别过程
资产识别主要通过向被评估方发放资产调查表来完成。在识别资产时，以被评估方提供的资产清单为依据，对重要和关键资产进行标注，对评估范围内的资产详细分类。根据资产的表现形式，可将资产分为数据、软件、硬件、服务和人员等类型。
根据资产在保密性、完整性和可用性上的不同要求，对资产进行保密性赋值、完整性赋值、可用性赋值和资产重要程度赋值。
3、威胁识别过程
在威胁评估阶段评估人员结合当前常见的人为威胁、其可能动机、可利用的弱点、可能的攻击方法和造成的后果进行威胁源的识别。威胁识别完成后还应该对威胁发生的可能性进行评估，列出为威胁清单，描述威胁属性，并对威胁出现的频率赋值。
4、脆弱性识别过程
脆弱性分为管理脆弱性和技术脆弱性。管理脆弱性主要通过发放管理脆弱性调查问卷、访谈以及手机分析现有的管理制度来完成;技术脆弱性主要借助专业的脆弱性检测工具和对评估范围内的各种软硬件安全配置进行检查来识别。脆弱性识别完成之后，要对具体资产的脆弱性严重程度进行赋值，数值越大，脆弱性严重程度越高。
5、已有安全措施确认
安全措施可以分为预防性安全措施和保护性安全措施两种。预防性安全措施可以降低威胁利用脆弱性导致安全事件发生的可能性，如入侵检测系统;保护性安全措施可以减少因安全事件发生后对组织或系统造成的影响。
6、风险分析过程
完成上述步骤之后，将采用适当的方法与工具进行安全风险分析和计算。可以根据自身情况选择相应的风险计算方法计算出风险值，如矩阵法或相乘法等。如果风险值在可接受的范围内，则改风险为可接受的风险;如果风险值在可接受的范围之外，需要采取安全措施降低控制风险。

热心网友 时间：2022-03-30 03:11

　　信息安全风险评估的基本过程主要分为：
　　1.风险评估准备过程

　　2.资产识别过程

　　3.威胁识别过程

　　4.脆弱性识别过程
　　5.风险分析过程
　　信息安全风险评估的概念涉及资产、威胁、脆弱性和风险4个主要因素。信息安全风险评估就是从管理的角度，运用科学的方法和手段，系统分析网络与信息系统所面临的威胁及存在的脆弱性。评估安全事件一旦发生可能造成的危害程度，提出有针对性地抵御安全威胁的防护措施，为防范和化解信息安全风险，将风险控制在可以接受的水平，最大限度地保障网络正常运行和信息安全提供科学依据。

热心网友 时间：2022-03-30 04:45

风险评估主要过程为：

确认风险评估范围

收集信息资产（五类信息资产）

资产识别（识别重要资产）

对重要资产评估

风险处置

风险评估报告

安言 咨询 能协助完成以上内容！

热心网友 时间：2022-03-30 06:37

确认风险评估方法，评定风险等级，形成风险评估报告