完成了资产识别、脆弱性识别及威胁识别后(链接请见文章末尾处),我们可以采用适当的方法和工具确定威胁利用脆弱性导致安全事件发生的可能性。综合安全事件作用资产价值及脆弱性的严重程度,判断事件造成的损失及对组织的影响,即安全风险。

风险分析原理

本篇将从风险计算、风险结果判定、风险处置、风险评估四个方面进行介绍。

一、风险计算形式及关键环节

风险计算原理其范式形式如下:

风险值=R(A,T,V)=R(L(T,V),F(Ia,Va));

其中:R标识安全风险计算函数。A表示资产;T表示威胁;V表示脆弱;Ia表示资产价值;Va表示脆弱性的严重程度。L表示威胁利用资产的脆弱性导致安全事件发生的可能性。F表示安全事件发生后的损失。

风险计算三个关键环节:

安全事件发生的可能性=L(威胁频率,资产脆弱性)=L(T,V);

安全事件发生后的损失=F(资产价值,脆弱性严重程度)=F(Ia,Va);

风险值=R(安全事件发生的可能性,安全事件发生后的损失)=R(L(T,V),F(Ia,Va))

目前业界风险计算通过二维矩阵或相乘法两种方式对风险进行计算,本文对计算方式不过多介绍。

二、风险结果判定

为了方便对风险控制和管理,可将风险划分多个等级(如:5级或3级),等级越高,风险也就越高。如下示例表:

风险等级划分示例表

等级划分目的是为了风险管理过程中对不同风险的直观比较,应根据自身的业务特点和安全现状有针对性的划分风险等级,既要与自身业务“贴身”,又要符合外部合规性要求。

三、风险处置

对不可接受的风险,应根据该风险的脆弱性制定风险处置计划。风险处置计划要明确采取的弥补弱点的措施、预期效果、实施条件、进度安排、责任部门、协调部门等。安全措施应从管理和技术两个维度进行,管理可作为技术措施的补充。

风险处置目的是以减少脆弱性或降低安全事件发生的可能性。

四、风险评估

风险处置完毕后应进行风险再评估,以判断实施安全措施后的残余风险是否已经降到了可接受水平。

一般风险评估方式分为自评估和检查评估两类。

自评估:由组织发起,以发现系统现有弱点,实施安全管理为目的。适用于对自身进行安全风险识别和评价,并选择合适的风险处置措施,降低评估资产的安全风险,定期性的评估可纳入数据安全管理规范及管理办法中。由于自评估受限于组织内部人员,可能缺乏评估专业技能,导致不够深入和准确,同时缺乏一定的客观性,所以一般是委托风险评估服务技术支持单位进行实施评估。

检查评估:由被评估组织的上级主管机关或业务机关发起,通过行政手段加强安全的重要措施,一般是定期、抽样进行评估模式,旨在检查关键领域或关键点安全风险是否在可接受范围内。检查评估主要包括:

  1. 自评估方法的检查;
  2. 自评估过程记录检查;
  3. 自评估结果跟踪检查;
  4. 现有数据安全措施检查;
  5. 数据生命周期内数据控制检查;
  6. 突发事件应对措施检查;
  7. 数据完整性、可用性、机密性检查;
  8. 数据生命周期内数据审计、脱敏检查;

五、总结

数据安全风险评估与信息系统的风险评估应是子与父的关系,数据安全风险评估可融合其中也可独立与已有风险评估体系之外运转。风评实施前准备工作与信息系统风险评估一致,可从6个方面进行并形成闭环。

风险评估流程示例图

基于数据安全的风险评估分四个部分已全部介绍完毕,写该系列文章其意义是发现业界没有针对数据层面进行风险评估体系化文章,所以利用自身数据安全经验,查阅了相关标准完成了以数据为中心的风险识别框架(如文中数据安全层面的脆弱性、威胁性等部分还待补充完善。),文中如有遗漏或者问题地方还请告知,以便我及时完善。

资产识别、脆弱性识别、威胁识别请见:

基于数据安全的风险评估-数据资产识别

基于数据安全的风险评估-脆弱性识别

基于数据安全的风险评估-威胁性识别

基于数据安全的风险评估-风险分析与评估相关推荐

  1. 基于数据安全的风险评估-威胁性识别

    上篇<基于数据安全的风险评估-脆弱性识别>,是从脆弱性识别内容.识别方式.脆弱性定级,三个部分进行介绍.与脆弱密切相关的是威胁,威胁是一种对组织及资产构成潜在破坏的可能性因素,威胁需要利用 ...

  2. 基于数据安全的风险评估-脆弱性识别

    上篇文章<基于数据安全的风险评估-数据资产识别>内容为数据资产识别,数据资产识别是风险评估的开始,而脆弱性是对一个或多个资产弱点的集合,脆弱性识别也可称为弱点识别,而该弱点是资产本身存在的 ...

  3. 【2016年第4期】基于仿真大数据的效能评估指标体系构建方法

    司光亚,高翔,刘洋,吴琳 国防大学信息作战与指挥训练教研部,北京 100091 摘要:针对武器装备效能评估指标体系中评估指标之间存在的相互依赖与影响关系以及评估过程主观性较强的情况,提出一种基于仿真大 ...

  4. 读“基于机器学习的无参考图像质量评估综述”有感

    读"基于机器学习的无参考图像质量评估综述"有感 摘要: 无参数图像质量评价(NRIQA)因其广泛的应用需求一直以来都是计算机视觉及其交叉领域的研究热点.回顾近十几年来基于机器学习的 ...

  5. R语言使用yardstick包的conf_mat函数计算多分类(Multiclass)模型的混淆矩阵、并使用summary函数基于混淆矩阵输出分类模型评估的其它详细指标(kappa、npv等13个)

    R语言使用yardstick包的conf_mat函数计算多分类(Multiclass)模型的混淆矩阵(confusion matrix).并使用summary函数基于混淆矩阵输出分类模型评估的其它详细 ...

  6. linux提升nvme性能,基于SPDK的NVMe SSD性能评估指南

    原标题:基于SPDK的NVMe SSD性能评估指南 一 通过fio工具测试磁盘性能 SPDK采用异步I/O(Asynchronous I/O)加轮询(Polling)的工作模式,通常与Kernel的异 ...

  7. 配电网可靠性评估(4)—(顶刊复现)基于优化模型的配电网可靠性评估

    之前的博客中介绍了配电网可靠性评估的三种方法.分别是解析法中的最小路法,以及序贯蒙特卡罗模拟法及非序贯蒙特卡洛模拟法,顺带提到了含有分布式电源的配电网可靠性评估方法. 配电网可靠性评估(一)最小路法和 ...

  8. 基于 NXP S32K116 PJF7992 的 PEPS 评估板方案

    PEPS(Passive Entry & Passive Start System)无钥匙进入与无钥匙启动系统,该项技术被广泛应用于车辆门禁无钥匙进入系统.车辆无钥匙启动系统.电摩接近检测系统 ...

  9. teablue数据分析_基于大数据分析的茶叶质量评估

    引言 茶叶是茶加工企业生存和发展的基本保障,是 茶产品能够顺利发展的重要资源.茶叶的质量和产 量,通常会遭受各种大气条件以及生态条件和生产 措施的影响.为了保证茶叶质量,需要监测茶叶生 产的整个周期. ...

最新文章

  1. sap data service安装方法
  2. [sso]搭建CAS单点服务器
  3. 优秀的Java程序员必须了解GC的工作原理
  4. 无法解决 equal to 运算中 Chinese_PRC_CI_AS 和 SQL_Latin1_General_CP1_CI_AS 之间的排序规则冲突。...
  5. Android面试基础一
  6. deque iterator not dereferencable 问题
  7. 2:0!Dota2世界冠军OG被OpenAI碾压,全程人类只推掉两座外塔
  8. 设置图例 边框 背景 AE C#
  9. cassandra学习笔记四
  10. SQL入门教程(一):基础知识
  11. 基于Vue结合高德地图api做的一个坐标拾取组件
  12. 【javaEE】——多线程进阶(锁策略:面试相关考点)04
  13. opencv+映美相机,从缓冲区中抓图片或者显示视频
  14. python控制摄像头云台_python-onvif实现客户端控制相机云台
  15. html 怎么让背景图铺满整个页面
  16. 洛谷P3387 【模板】缩点(tarjan)
  17. LIN总线增强型校验_相比于LIN通讯,大家可能对CAN更感兴趣
  18. 计算机界五位巾帼英雄
  19. 再见了, 上海!我的程序生涯!
  20. 甜椒刷机助手(安卓一键刷机助手) v3.5.1.1 电脑版

热门文章

  1. 【PAT】乙级 1009 说反话 C++思路分享 (附最后一个测试用例未通过的原因)
  2. 【3dmax】关于贴图老是不能显示透明底的情况的彻底解决方法
  3. 当进入小程序或公众号时出现一个大感叹号,可以这样解决
  4. 将一个数组中的数右边为复数,左边为正数,中间为0
  5. 声网微信小程序一对一语音通话
  6. 卡尔曼滤波器(3) -- α−β−γ滤波器(例2)
  7. 表格对角线两边打字_WPS表格怎么在斜线左右两边打字|excle表格斜线一分为二怎么打字...
  8. 重磅推荐:建大数据平台太难了!给我发个工程原型吧!
  9. 【数据结构与算法】之深入解析“摘樱桃II”的求解思路与算法示例
  10. ES6 环境下 Openlayers 集成使用 ol-ext 以及在线示例