信息安全风险管理要素

为网络安全做准备，企业必须满足基本的网络安全目标。网络安全准备是指能够检测并有效响应来自网络外部以及内部的计算机安全泄露事故和入侵、恶意软件攻击、网络钓鱼攻击以及数据和知识产权窃取。

创新互联专注于海南州网站建设服务及定制，我们拥有丰富的企业做网站经验。 热诚为您提供海南州营销型网站建设，海南州网站制作、海南州网页设计、海南州网站官网定制、微信小程序开发服务，打造海南州网络公司原创品牌,更为您提供海南州网站排名全网营销落地服务。

在本文中，我们将主要探讨风险，因为它影响着信息与信息系统。保护信息是一个业务问题，解决方案并不只是部署技术(防火墙和防病毒网关等)，然后不管不顾，并全权依赖保护。企业必须采取积极主动的方法来发现及保护其最重要的资产，包括信息、信息技术和关键业务流程。信息安全风险管理让企业可评估其试图保护的内容及原因，以作为确定安全措施的决定性支持要素。全面的信息安全风险评估应该允许企业根据其业务和组织需求来评估其安全需求和风险。

请记住，信息系统及其所包含数据的作用时支持业务流程，也是支持企业实现目标。在实际中，信息是支持企业及其使命的基本要素，它有助于维持企业运营。

风险定义

根据卡内基梅隆大学软件工程研究所的OCTAVE风险评估方法显示，风险是指：“遭受破坏或损失的可能性。”威胁是风险的组成部分，可以被认为是：威胁行为者(人类或非人类)采取某种行动，例如识别和利用漏洞，导致意想不到和不想要的结果，例如信息丢失、修改或披露，或者失去对信息的访问权限。这些结果对企业将带来负面影响，这些影响可能包括：收益或客户流失、市场差异化损失、事故响应及恢复的成本以及罚款和监管惩罚的成本。

信息安全风险组成部分

信息安全风险有几个重要组成部分：

• 威胁行为者：利用漏洞的人类或非人类实体;
• 漏洞：威胁行为者利用的对象;
• 结果：利用漏洞导致的结果;
• 影响：不良结果带来的影响，不要将结果与影响混淆。

信息安全风险最后且最重要的组成部分是受风险影响的资产，包括信息、过程和技术。假设资产风险无法消除，信息安全风险的唯一可控制的组件就是漏洞。我们可通过以下操作来控制漏洞：

• 删除漏洞。如果不存在漏洞，则不能被利用;
• 或者，如果漏洞无法被删除：
• 降低漏洞利用的可能性;
• 降低漏洞利用造成影响的严重性;
• 或者什么都不做，接受风险。

还有一种情况是零日漏洞，企业无法抵御未知漏洞带来的特定结果和影响，并且没有机会制定策略来减少可能性和影响。

风险管理

信息安全风险是发现、了解、评估和缓解风险及其根本漏洞的过程，也是了解对信息、信息系统以及依靠信息为其运营的企业的影响的过程。除了识别风险和风险缓解措施之外，风险管理方法和流程也将有所帮助：

• 识别关键信息资产。风险管理程序可被扩展到识别关键人物、业务流程和技术。
• 了解所选择的关键资产对运营、任务完成以及业务连续性的重要性。

为了满足风险管理作为网络安全准备组件的目标，企业必须构建强大的信息安全风险评估和管理程序。如果企业风险管理(ERM)程序已经存在，还可部署信息安全风险管理程序来支持ERM流程。

用于构建信息安全风险管理程序的资源包括：

• NIST Special Publication 800-39，《管理信息安全风险》
• NIST Special Publication 800-30，《风险评估指南》

信息安全风险管理程序的其他要素包括：

• 资产管理程序
• 配置管理程序
• 变更管理程序

分享标题：信息安全风险管理要素
文章起源：http://www.mswzjz.cn/qtweb/news0/506900.html

攀枝花网站建设、攀枝花网站运维推广公司-贝锐智能，是专注品牌与效果的网络营销公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 贝锐智能