数据结构
网络
关系型数据库管理系统
操作系统
Java
MS Excel
iOS
HTML
CSS
Android
Python
C 编程
C++
C#
MongoDB
MySQL
Javascript
PHP
物理学
化学
生物学
数学
英语
经济学
心理学
社会学
服装设计
法律研究网络安全中的残余风险是什么?
残余风险是在已经采取所有措施来检测和消除某些或所有风险类别后仍然存在的风险。评估残余风险对于满足合规性和监管要求至关重要。必须评估残余风险,以便随着时间的推移优先考虑安全措施和流程。
如何计算残余风险?
在制定风险管理策略之前,必须首先量化数字生态系统中所有独特的残余危害。这将帮助您定义管理计划的具体要求,并使您能够评估缓解措施的有效性。
计算生态系统中剩余的危险是一项艰巨的任务。
残余风险 = 固有风险 - 风险控制的影响
为了评估恢复计划的有效性,可以将残余风险与风险容忍度(或风险承受能力)进行比较。这将促使对所有已实施的安全程序进行审查,并找出允许过高固有风险的任何缺陷。安全团队可以使用此类重要的分析执行有针对性的补救工作,从而实现内部资源的有效部署。
固有风险与残余风险
固有风险和残余风险评估之间的主要区别在于,后者考虑了控制和其他缓解策略的影响。
每个评估计划都需要以下定义 -
固有可能性是在没有安全保障措施的环境中发生事件的可能性。
固有影响 - 发生事件对缺乏安全保障措施的系统的影响。
在实施了安全保障措施的环境中发生事件的可能性称为残余可能性。
残余影响是在实施了安全控制措施的环境中发生事件的影响。
只有在明确了实体的主要目标并努力发现可能出错以阻止实体实现这些目标的事情后,才会确定固有风险。
除了影响和可能性之外,管理层还会评估风险的类型,例如风险是由欺诈、风暴等自然灾害还是复杂或不常见的商业活动引起的。了解风险的起源和特征有助于确定其可能的影响和发生的可能性。
对现有内部控制的依赖程度越高,因此其有效性越高,固有风险和残余风险之间的路径就越长。
Explore our latest online courses and learn new skills at your own pace. Enroll and become a certified expert to boost your career.
如何管理残余风险?
组织在任何特定情况下改变可接受风险量的能力是管理残余风险的关键。组织可以采取以下步骤来降低任何残余风险 -
如果残余风险低于任何业务中的可接受风险水平,组织可以简单地假设已建立的控制措施已被证明足够有效以将风险降低到可接受的水平。
更新或增加实施的控制措施。如果残余风险仍然高于可接受的风险水平,则可能需要新的或更改的控制措施和流程,以将固有风险降低到可接受的水平。
评估控制措施与缓解成本以做出决策。假设残余风险仍然高于可接受的风险阈值,并且必要的控制措施和对策的成本过高。在这种情况下,组织可能被迫接受风险,而不管残余风险如何。
如何定义可接受的风险水平
必须为每个资产建立可接受的风险。对于大量的资产清单,这可能成为一项不可能的要求。以下的可接受风险分析方法将有助于分配工作并加快流程。
这可以通过以下概述的风险分析方法来实现 -
使用数字足迹映射识别所有资产。
为每个资产(或资产组)分配所有者。
确定每个资产的现有和潜在漏洞
这些缺陷被利用的可能性
可容忍的风险水平应表示为百分比,其中 -
如果固有风险因素小于 3%(高风险容忍度),则认为风险是可以接受的。
如果固有风险因素在 3% 到 3.9% 之间,则认为风险是可以容忍的(中等风险容忍度)。
4% 到 5% 的风险因素等于 10%。(低风险容忍度)
373 次浏览
