SPEAL FOR FASHION

 

 
 

随着信息技术的飞速发展,信息已经成为一种宝贵的资源,信息安全问题越来越受到人们的关注。信息安全风险评估,是规避安全隐患的重要方式。进行信息安全风险评估,提高组织的安全意识和防御能力,以便及时发现并解决潜在的安全隐患,为组织的信息安全保驾护航。

 

 

 
 
 
 
 

 风险要素有哪些?

 要素之间有什么关系?

 

相信有很多人都听说过网络安全中的一些名词,比如说:脆弱性、威胁、风险,但是也有很多人不理解他们之间的区别,今天我们就用“亡羊补牢”这个成语帮助大家更好的理解一下这些名词。

 

我们先来看看这张图
 
 

这张图是《GBT 20984-2022信息安全技术 信息安全风险评估方法》中关于各个风险要素之间的关系图,风险评估基本要素包括资产、威胁、脆弱性和安全措施并基于以上要素开展风险评估。

 

从这张图中,我们可以知道:
 
 
 
01

风险要素的核心是资产,而资产存在脆弱性

 
02

安全措施的实施通过降低资产脆弱性被利用难易程度,抵御外部威胁,以实现对资产的保护;

 
03

威胁通过利用资产存在的脆弱性导致风险

 
04

风险转化成安全事件后,会对资产的运行状态产生影响

 
05

风险分析时,应综合考虑资产、脆弱性、威胁和安全措施等基本因素。

 

▼ ▼ ▼

 

 

我们类比到『亡羊补牢』这个成语中
 
 
 
01

羊群就是我们的资产,羊群不具备自保能力,存在脆弱性

 
02

狼是羊群的威胁,会利用羊群没有自保能力这个脆弱性攻击羊群,导致羊群死亡的风险

 
03

为了保护羊群,修建了羊圈,这个羊圈就是安全措施,修建了羊圈以后,狼群攻击羊群的成功的可能性就变小了,从而羊群死亡的风险就减少了

 

 

上述内容的讲解视频可戳下方视频链接

 

 

 

 

▼ ▼ 

 

 

 
 
 

信息安全风险评估是加强信息安全保障体系建设和管理的关键环节。通过开展信息安全风险评估工作,可以发现信息安全存在的主要问题和矛盾,找到解决诸多关键问题的办法。

那么从“亡羊补牢”这个故事里,我们可以知道,风险要素分别是什么意思;风险要素之间的关系;以及如果要做信息安全风险评估,需要先完成资产识别、脆弱性识别、威胁识别、已有安全措施识别,才能够做风险评估。只有在正确地、全面地理解风险后,才能在控制风险、减少风险、转移风险之间做出正确的判断,决定调动多少资源、以什么代价、采取什么样的应对措施去化解、控制风险。

在进行风险评估时,每一步操作和所使用的工具软件都非常重要且有比较严格的限制,所以对于评估人员的专业性要求比较高。

由于文章篇幅限制,小编就不在这里过多阐述了,不过也是为了免去一些同学查找资料搜集工具的繁琐过程,小编特为大家整理了风险评估常用工具资料包,欢迎有需要的同学领取,只要扫描识别下方二维码,或致电联系班班老师,即可免费领取工具资料包

 

 

长按识别/领课报名

电话:134-0166-3881

 

 
 
 

 

▼ ▼ ▼

 

 

 
 知白简介
 

CHOOSE US

 

 

· 知白讲堂是启明星辰知白学院在线教育平台,自1996年集团创立伊始,专注网络安全人才培养。拥有金园丁讲师阵容,十年以上专职安全教培行业积累,曾历经众多国家级重大安保项目洗礼,技术深厚扎实、实战经验丰富,备受学员推崇。通过率行业领先,总体通过率达到98%以上。为学员打通高效、便捷、低价拿证通道,升职加薪跳槽So Easy!

 

抓紧时间联系班班老师来报名吧~领取更多惊喜,更多优惠!

 

-----------------------------------------


 
 

 

知白微课堂 第五讲丨风险评估中的“亡羊补牢”

创建时间:2023-12-01 17:11
关于学院