风险因素识别及程度分析
发布时间:2008-01-17   录入:启明星辰

风险因素识别阶段的工作流程和内容如下:


1)识别需要保护的资产。依据对象确立输出的三个报告,即《信息系统的描述报告》、《信息系统的分析报告》和《信息系统的安全要求报告》,识别对机构使命具有关键和重要作用的需要保护的资产,形成《需要保护的资产清单》。


2)识别面临的威胁。依据对象确立输出的三个报告,参照威胁库,识别机构的信息资产面临的威胁,形成《面临的威胁列表》。威胁库是有关威胁的外部共享数据和内部历史数据的汇集。


3)识别存在的脆弱性。依据对象确立输出的三个报告,参照漏洞库,识别机构的信息资产存在的脆弱性,形成《存在的脆弱性列表》。漏洞库是有关脆弱性/漏洞的外部共享数据和内部历史数据的汇集。

风险因素的识别方式包括文档审查、人员访谈、现场考察、辅助工具等多种形式,可以根据实际情况灵活采用和结合使用。


风险程度分析阶段的工作流程和内容如下:


1)确认已有的安全措施。依据对象确立输出的三个报告,即《信息系统的描述报告》、《信息系统的分析报告》和《信息系统的安全要求报告》,确认已有的安全措施,包括技术层面(即物理平台、系统平台、通信平台、网络平台和应用平台)的安全功能、组织层面(即结构、岗位和人员)的安全控制和管理层面(即策略、规章和制度)的安全对策,形成《已有安全措施分析报告》。


2)分析威胁源的动机。依据对象确立输出的三个报告和《面临的威胁列表》,从利益、复仇、好奇和自负等驱使因素,分析威胁源动机的强弱,形成《威胁源分析报告》。


3)分析威胁行为的能力。依据对象确立输出的三个报告和《面临的威胁列表》,从攻击的强度、广度、速度和深度等方面,分析威胁行为能力的高低,形成《威胁行为分析报告》。


4)分析脆弱性的被利用性。依据对象确立输出的三个报告、《面临的威胁列表》和《存在的脆弱性列表》,按威胁/脆弱性对,分析脆弱性被威胁利用的难以程度,形成《脆弱性分析报告》。


5)分析资产的价值。依据对象确立输出的三个报告和《需要保护的资产清单》,从敏感性、关键性和昂贵性等方面,分析资产价值的大小,形成《资产价值分析报告》。


6)分析影响的程度。依据对象确立输出的三个报告和《需要保护的资产清单》,从资产损失、使命妨碍和人员伤亡等方面,分析影响程度的深浅,形成《影响程度分析报告》。

文章来源:http://www.venustech.com.cn/
  • 公司总部 | 分支机构 | 法律声明 | 投资者关系 | 400-624-3900 800-810-6038
  • © 启明星辰1996-2015 版权所有 京ICP备05032414号 京公网安备110108003435号