新闻资讯

信息安全风险管理要素

澳门太阳城集团
公布日期:2016-11-18 09:40:36      作者:华腾信息
(作者:Peter Sullivan  译:邹铮  滥觞:TechTarget国外)

为网络安全做筹办,企业必需满意根本的网络安全目的。网络安全筹办是指可以检测并有用呼应来自网络内部以及内部的计算机安全保守变乱和入侵、歹意软件进犯、网络垂钓进犯以及数据和知识产权夺取。

在本文中,我们将次要讨论风险,由于它影响着信息与信息系统。庇护信息是一个业务成绩,解决方案其实不只是布置手艺(防火墙和防病毒网关等),然后不管不顾,并全权依靠庇护。企业必需采纳积极主动的办法来发明及庇护其最重要的资产,包罗信息、信息技术和枢纽业务流程。信息安全风险管理让企业可评价其试图庇护的内容及缘故原由,以作为肯定安全措施的决定性撑持要素。片面的信息安全风险评价该当许可企业按照其业务和构造需求来评价其安全需求和风险。

请记着,信息系统及其所包罗数据的作用时撑持业务流程,也是撑持企业实现目的。在实践中,信息是撑持企业及其任务的基本要素,它有助于保持企业运营。

风险界说

按照卡内基梅隆大学软件工程研究所的OCTAVE风险评价办法显现,风险是指:“蒙受毁坏或丧失的可能性。”要挟是风险的组成部分,能够被以为是:要挟举动者(人类或非人类)采纳某种动作,比方辨认和操纵破绽,招致意想不到和不想要的成果,比方信息丧失、修正或表露,大概落空对信息的会见权限。这些成果对企业将带来负面影响,这些影响能够包罗:收益或客户流失、市场差同化丧失、变乱呼应及规复的本钱以及罚款和羁系处罚的本钱。

信息安全风险组成部分

信息安全风险有几个重要组成部门:

要挟举动者:操纵破绽的人类或非人类实体;

破绽:要挟举动者操纵的工具;

成果:操纵破绽招致的成果;

影响:不良成果带来的影响,不要将成果与影响混合。

信息安全风险最初且最重要的组成部分是受风险影响的资产,包罗信息、历程和手艺。假定资产风险无法消弭,信息安全风险的唯一可掌握的组件就是破绽。我们可经由过程以下操纵来掌握破绽:

删除破绽。假如不存在破绽,则不能被操纵;

大概,假如破绽无法被删除:

低落破绽操纵的可能性;

低落破绽操纵形成影响的严重性;

大概什么都不做,承受风险。

还有一种状况是零日破绽,企业无法抵抗未知破绽带来的特定成果和影响,而且没有机会订定战略来削减可能性和影响。

风险管理

信息安全风险是发明、理解、评价和减缓风险及其底子破绽的历程,也是理解对信息、信息系统以及依托信息为其运营的企业的影响的历程。除了辨认风险和风险减缓步伐以外,风险管理办法和流程也将有所协助:
辨认枢纽信息资产。风险管理程序可被扩展到辨认关键人物、业务流程和手艺。

理解所挑选的枢纽资产对运营、使命完成以及业务连续性的重要性。

为了满意风险管理作为网络安全筹办组件的目的,企业必需构建壮大的信息

安全风险评价和管理程序。假如企业风险管理(ERM)法式曾经存在,还可布置信息安全风险管理程序来撑持ERM流程。

用于构建信息安全风险管理程序的资本包罗:

NIST Special Publication 800-39,《管理信息安全风险》

NIST Special Publication 800-30,《风险评价指南》

信息安全风险管理程序的其他要素包罗:

资产管理程序

设置管理程序

变动管理程序



联系地址:国外福建省泉州市丰泽区东海大街雅园3号楼24层  |  联系电话:0595-22501050  |     |    |   wwwpj677com
新萄亰赌场下载