基于数据安全的风险评估-风险分析与评估
完成了资产识别、脆弱性识别及威胁识别后(链接请见文章末尾处),我们可以采用适当的方法和工具确定威胁利用脆弱性导致安全事件发生的可能性。综合安全事件作用资产价值及脆弱性的严重程度,判断事件造成的损失及对组织的影响,即安全风险。
风险分析原理
本篇将从风险计算、风险结果判定、风险处置、风险评估四个方面进行介绍。
一、风险计算形式及关键环节
风险计算原理其范式形式如下:
风险值=R(A,T,V)=R(L(T,V),F(Ia,Va));
其中:R标识安全风险计算函数。A表示资产;T表示威胁;V表示脆弱;Ia表示资产价值;Va表示脆弱性的严重程度。L表示威胁利用资产的脆弱性导致安全事件发生的可能性。F表示安全事件发生后的损失。
风险计算三个关键环节:
安全事件发生的可能性=L(威胁频率,资产脆弱性)=L(T,V);
安全事件发生后的损失=F(资产价值,脆弱性严重程度)=F(Ia,Va);
风险值=R(安全事件发生的可能性,安全事件发生后的损失)=R(L(T,V),F(Ia,Va))
目前业界风险计算通过二维矩阵或相乘法两种方式对风险进行计算,本文对计算方式不过多介绍。
二、风险结果判定
为了方便对风险控制和管理,可将风险划分多个等级(如:5级或3级),等级越高,风险也就越高。如下示例表:
风险等级划分示例表
等级划分目的是为了风险管理过程中对不同风险的直观比较,应根据自身的业务特点和安全现状有针对性的划分风险等级,既要与自身业务“贴身”,又要符合外部合规性要求。
三、风险处置
对不可接受的风险,应根据该风险的脆弱性制定风险处置计划。风险处置计划要明确采取的弥补弱点的措施、预期效果、实施条件、进度安排、责任部门、协调部门等。安全措施应从管理和技术两个维度进行,管理可作为技术措施的补充。
风险处置目的是以减少脆弱性或降低安全事件发生的可能性。
四、风险评估
风险处置完毕后应进行风险再评估,以判断实施安全措施后的残余风险是否已经降到了可接受水平。
一般风险评估方式分为自评估和检查评估两类。
自评估:由组织发起,以发现系统现有弱点,实施安全管理为目的。适用于对自身进行安全风险识别和评价,并选择合适的风险处置措施,降低评估资产的安全风险,定期性的评估可纳入数据安全管理规范及管理办法中。由于自评估受限于组织内部人员,可能缺乏评估专业技能,导致不够深入和准确,同时缺乏一定的客观性,所以一般是委托风险评估服务技术支持单位进行实施评估。
检查评估:由被评估组织的上级主管机关或业务机关发起,通过行政手段加强安全的重要措施,一般是定期、抽样进行评估模式,旨在检查关键领域或关键点安全风险是否在可接受范围内。检查评估主要包括:
- 自评估方法的检查;
- 自评估过程记录检查;
- 自评估结果跟踪检查;
- 现有数据安全措施检查;
- 数据生命周期内数据控制检查;
- 突发事件应对措施检查;
- 数据完整性、可用性、机密性检查;
- 数据生命周期内数据审计、脱敏检查;
五、总结
数据安全风险评估与信息系统的风险评估应是子与父的关系,数据安全风险评估可融合其中也可独立与已有风险评估体系之外运转。风评实施前准备工作与信息系统风险评估一致,可从6个方面进行并形成闭环。
风险评估流程示例图
基于数据安全的风险评估分四个部分已全部介绍完毕,写该系列文章其意义是发现业界没有针对数据层面进行风险评估体系化文章,所以利用自身数据安全经验,查阅了相关标准完成了以数据为中心的风险识别框架(如文中数据安全层面的脆弱性、威胁性等部分还待补充完善。),文中如有遗漏或者问题地方还请告知,以便我及时完善。
资产识别、脆弱性识别、威胁识别请见:
基于数据安全的风险评估-数据资产识别
基于数据安全的风险评估-脆弱性识别
基于数据安全的风险评估-威胁性识别
基于数据安全的风险评估-风险分析与评估相关推荐
- 基于数据安全的风险评估-威胁性识别
上篇<基于数据安全的风险评估-脆弱性识别>,是从脆弱性识别内容.识别方式.脆弱性定级,三个部分进行介绍.与脆弱密切相关的是威胁,威胁是一种对组织及资产构成潜在破坏的可能性因素,威胁需要利用 ...
- 基于数据安全的风险评估-脆弱性识别
上篇文章<基于数据安全的风险评估-数据资产识别>内容为数据资产识别,数据资产识别是风险评估的开始,而脆弱性是对一个或多个资产弱点的集合,脆弱性识别也可称为弱点识别,而该弱点是资产本身存在的 ...
- 【2016年第4期】基于仿真大数据的效能评估指标体系构建方法
司光亚,高翔,刘洋,吴琳 国防大学信息作战与指挥训练教研部,北京 100091 摘要:针对武器装备效能评估指标体系中评估指标之间存在的相互依赖与影响关系以及评估过程主观性较强的情况,提出一种基于仿真大 ...
- 读“基于机器学习的无参考图像质量评估综述”有感
读"基于机器学习的无参考图像质量评估综述"有感 摘要: 无参数图像质量评价(NRIQA)因其广泛的应用需求一直以来都是计算机视觉及其交叉领域的研究热点.回顾近十几年来基于机器学习的 ...
- R语言使用yardstick包的conf_mat函数计算多分类(Multiclass)模型的混淆矩阵、并使用summary函数基于混淆矩阵输出分类模型评估的其它详细指标(kappa、npv等13个)
R语言使用yardstick包的conf_mat函数计算多分类(Multiclass)模型的混淆矩阵(confusion matrix).并使用summary函数基于混淆矩阵输出分类模型评估的其它详细 ...
- linux提升nvme性能,基于SPDK的NVMe SSD性能评估指南
原标题:基于SPDK的NVMe SSD性能评估指南 一 通过fio工具测试磁盘性能 SPDK采用异步I/O(Asynchronous I/O)加轮询(Polling)的工作模式,通常与Kernel的异 ...
- 配电网可靠性评估(4)—(顶刊复现)基于优化模型的配电网可靠性评估
之前的博客中介绍了配电网可靠性评估的三种方法.分别是解析法中的最小路法,以及序贯蒙特卡罗模拟法及非序贯蒙特卡洛模拟法,顺带提到了含有分布式电源的配电网可靠性评估方法. 配电网可靠性评估(一)最小路法和 ...
- 基于 NXP S32K116 PJF7992 的 PEPS 评估板方案
PEPS(Passive Entry & Passive Start System)无钥匙进入与无钥匙启动系统,该项技术被广泛应用于车辆门禁无钥匙进入系统.车辆无钥匙启动系统.电摩接近检测系统 ...
- teablue数据分析_基于大数据分析的茶叶质量评估
引言 茶叶是茶加工企业生存和发展的基本保障,是 茶产品能够顺利发展的重要资源.茶叶的质量和产 量,通常会遭受各种大气条件以及生态条件和生产 措施的影响.为了保证茶叶质量,需要监测茶叶生 产的整个周期. ...
最新文章
- unittest安装教程_unittest框架与自动化测试环境的搭建
- SQLServer之创建分布式事务
- 如何破解安卓手机上的图形锁(九宫格锁)
- oracle tabe unlock_Oracle 学习之性能优化(四)收集统计信息
- mongodb系列-访问控制
- JS字符转为json对象
- mysql数据库基础知识和安装与卸载(快速入门)
- 详解promise、async和await的执行顺序
- linux之tar使用技巧
- 2018-10-11
- 小D课堂 - 新版本微服务springcloud+Docker教程_4-05 微服务调用方式之feign 实战 订单调用商品服务...
- 分享个最终幻想勇气启示录脚本,手游上能一键推图自动升级
- 四周实现爬虫系统(1)-抓取tripadvisor猫途鹰网站数据信息
- 国家地区代号与英文名对应表
- 度分秒怎么计算加减乘除?
- 家用摄像机告知你“第三只眼睛”的重要性
- Scratch软件编程等级考试四级——20191221
- 做DSP应该懂的56个问题,反正我已经收藏了!
- Oracle 报错:ORA-01438: 值大于为此列指定的允许精度
- NLP文本生成的评价指标有什么?