信息安全中的风险分析是什么?
风险分析定义了与特定行动或事件相关的风险的审查。风险分析被用于信息技术、项目、安全问题以及其他一些可能基于定量和定性基础进行风险分析的事件。
风险分析过程遵循一些步骤,如下所示:
建立风险评估团队 - 风险评估团队将负责收集、分析和记录评估结果并提交给管理层。团队中定义某些活动工作流程的方面至关重要,例如人力资源、行政流程、自动化系统和物理安全。
设定项目的范围 - 评估团队应在开始时识别评估项目的目标、要评估的部门或功能事件、团队成员的职责、要采访的人员、要使用的标准、要检查的文档以及要检查的操作。
识别评估涵盖的资产 - 资产可能包括但不限于人员、硬件、软件、数据(例如敏感性和关键性的分类)、设施以及保护这些资产的当前控制措施。识别与在范围内确定的评估项目相关的所有资产至关重要。
对潜在损失进行分类 - 它可以识别某些类型的资产损坏可能导致的损失。损失可能源于物理损坏、拒绝服务、更改、未经授权的访问或披露。损失可能是无形的,包括组织信誉的损失。
识别威胁和漏洞 - 威胁是指利用漏洞攻击资产的事件、程序、活动或过程。它涉及自然威胁、意外威胁、人为意外威胁和人为恶意威胁。这些可能包括电源故障、生物污染或有害化学物质泄漏、特征行为或硬件/软件故障、数据消除或完整性丢失、破坏或盗窃或破坏。
漏洞是威胁将利用来攻击资产的弱点。可以通过在数据收集过程中解决以下问题来识别漏洞,例如物理安全、环境、系统安全、通信安全、人员安全、计划、政策、流程、管理、支持等。
识别现有控制措施 - 控制措施是降低威胁利用漏洞严重攻击资产的概率的安全措施。它可以识别当前执行的安全措施,并确定它们在当前分析中的有效性。
分析数据 - 在此步骤中,将使用所有收集到的数据来确定正在考虑的资产的实际风险。分析数据的一种方法包括准备资产记录并显示相应的威胁、损失类型和漏洞。对这些数据的分析应包括对潜在损失可能频率的评估。