文档介绍:风险评估过程主要包括:“数据采集、平安评测、平安分析、报告处 理〞 一、数据采集方法有:问卷调查、人员访谈、***、渗透性测试
1 问卷调查:下列图是微软的 Microsoft Security Assessment Tool
一款风 集和分析数据,并对组织的风险进行定性分析,最终的评估报告中包含已识别风 ,COBRA还支持基于知识的评估方法,可以将组织 的平安现状与ISO 17799标准相比拟,从中找出差距, 司 提 供 了 COBRA 试 用
:// security-risk-analysis / .
术语简称:
可以用微软的那种方式采集得到,下面简称
micro-style
F面是我们产生的评估报告大体的
初步的框架
风险评估报告
风险评估工程概述
(micro-style)
风险评估的目标
三、风险评估的依据〔技术标准及相关法规文件〕 四、风险评估的范围
〔评估对象〕
网络结构(micro-style)
322 业务应用〔micro-style〕
333子系统构成及定级 〔
根据国家标准对该系统平安等级定级,不同的等级采
用不同的平安评估方法,最后采取的举措也不一样〕
〔已采取的平安举措〕
(micro-style)
五、风险评估的内容
〔对组织有价值的信息或资源〕
资产种类(micro-style)
〔保存在信息媒介上的各种数据资
料〕
〔系统软件、应用软件、源程序〕 〔网络设备、计算机设备、存储设
备、平安设备、其他〕
〔信息效劳、网络效劳、办公效劳〕 〔掌握重要信息和核心业务的人员〕 其它
〔最终得到一个资产赋值列表〕通过一
定的算法
资产完整性赋值
资产可用性赋值
资产保密性赋值
〔得出关键资产列表〕
威胁来源(micro-style)
〔环境危害或自然灾害、软硬件
通信线路方面的故障等〕
〔恶意人员、非恶意人员〕
〔软硬件故障、物理环境影响、
无作为或操作失误、治理不到位、恶意 代码、越权或滥用、网络攻击、物理攻 击、泄密、篡改抵赖〕〔威胁源分析表〕
(micro-style)
〔威胁行为分析表〕
〔通过一定的算法〕
〔***器、渗透性工具等得到的
数据->micro-style )
网络结构
系统软件
应用中间件
应用系统
治理脆弱性〔micro-style 〕