时隔15年,《信息安全风险评估方法》迎来了重大更新,对于网安人来讲,或许有些重要的知识点需要我们去关注。下面就给大家浅析一下该标准。
一、什么是风险评估?
风险评估是在风险事件发生之前或之后(但还没有结束的时候),该事件给人们的生活、生命、财产等方面造成的影响和损失的可能性进行量化评估的工作。
从网络安全的角度来讲,风险评估是组织确定网络安全需求的一个重要途径,是为了不断提高企业的信息和网络安全水平和成熟度,从而变被动防御为主动出击。
二、《信息安全风险评估方法》背景
信息化技术的广泛应用极大地增加了信息安全风险,而解决信息安全问题普遍采用的方法就是风险评估。
通过风险评估,系统地分析信息系统所面临的威胁及其存在的脆弱性,评估事件一旦发生可能造成的危害程度,并根其提出有针对性地防护对策和整改措施,将风险控制在可接受的水平,最大程度地保障信息安全。
信息安全风险评估一般有自评估和检查评估两种形式,但如果风险评估没有统一的标准和方法,企业单位也不方便开展相关工作,所以国家出台了该方法。
但不管采取的评估方法多详细,多专业,也得依靠企业单位自己的努力,才能建设安全体系,改善安全状态,保障系统安全。
三、新标准的主要变化
1、名称变更
原名称:《信息安全技术 信息安全风险评估规范》现名称:《信息安全技术 信息安全风险评估方法》
2、风险实施流程
原版本中将风险评估的流程划分为了6个阶段:风险评估准备、资产识别、威胁识别、脆弱性识别、已有安全措施确认、风险分析六个阶段。
现版本则改为了4个阶段:评估准备、风险识别、风险分析和风险评估。
虽然阶段少了两个,但不代表没有,现版本将资产识别前置,与威胁识别、已有安全措施识别和脆弱性识别统称为风险识别。
3、资产识别中增加业务识别
原版本中的资产分为数据、软件、硬件、服务和人员等。
现版本中新增加了业务识别。因此资产识别将从三个层次进行识别:
识别业务资产→识别系统资产→识别系统组件和单元资产
4、简化了风险要素关系图
现版本和原版本的风险基本要素相同,但新版本简化了风险要素关系图,图中没有体系业务战略、资产价值、安全需求、安全事件和残余风险等。
5、完善了风险要素的属性
现版本对要素的属性做了进一步的阐释完善,如下图所示:
6、风险计算
原版本根据安全事件发生的可能性以及安全事件出现后的损失,计算安全事件一旦发生对组织的影响,即风险值。
而现版本中,将风险值分为了资产风险和业务风险两个,所指内容自然不相同。首先根据计算出的安全事件发生的可能性以及安全事件造成的损失,计算系统资产风险值;然后根据业务所涵盖的系统资产风险综合计算得出业务风险值。
四、结语
信息安全风险方法的更新完善,将进一步提升网络安全的保障能力与水平,也有利于企业单位更好地开展风险评估工作,提高信息系统安全指数。
我们坚信,未来的网络一定是更清朗的、更安全的!
图源网络,侵删注:本文整合自网络,侵删
本文链接:https://www.yunweipai.com/41573.html
网友评论comments