¿Cuáles son los pasos de la evaluación de riesgos?
1. Identificación y asignación de activos: identificar todos los activos dentro del alcance de la evaluación, investigar las posibles pérdidas causadas por daños a los activos y asignar valores relativos a los activos en función de la magnitud del daño y la pérdida; incluyen hardware, software, servicios, información y personal, etc.
2. Identificación y asignación de amenazas: es decir, analizar la frecuencia de ocurrencia de cada amenaza que enfrentan los activos. Las amenazas incluyen factores ambientales y factores humanos.
3. Identificación y asignación de vulnerabilidades: Descubrir e identificar vulnerabilidades tanto desde el aspecto técnico como de gestión, y asignar valores en función del daño causado a los activos cuando son explotados por amenazas.
4. Cálculo del valor de riesgo: al analizar los datos de prueba anteriores, se realiza el cálculo del valor de riesgo, se identifican y confirman los riesgos altos y se hacen sugerencias de rectificación para los riesgos de seguridad existentes.
5. La unidad evaluada puede prevenir y resolver riesgos de seguridad de la información en función de los resultados de la evaluación de riesgos, o controlar los riesgos a un nivel aceptable, proporcionando una base científica para maximizar la seguridad de la red y de la información.
Información ampliada
El alcance operativo de la evaluación de riesgos puede ser toda la organización, un determinado departamento de la organización o un sistema de información independiente, componentes y servicios específicos del sistema.
Algunos factores que afectan el progreso de la evaluación de riesgos, incluidos el momento, la intensidad, el alcance y la profundidad de la evaluación, deben ser consistentes con los requisitos ambientales y de seguridad de la organización. Las organizaciones deben elegir el enfoque de evaluación de riesgos adecuado para diferentes situaciones. Tres enfoques de evaluación de riesgos comúnmente utilizados en el trabajo real incluyen la evaluación de referencia, la evaluación detallada y la evaluación combinada.
Las principales tareas de la evaluación de riesgos incluyen: identificar varios riesgos que enfrenta el objeto de la evaluación; evaluar la probabilidad del riesgo y los posibles impactos negativos; determinar la capacidad de la organización para resistir los riesgos; Recomendar contramedidas de reducción de riesgos.
Enciclopedia Baidu: Evaluación de riesgos
Enciclopedia Baidu: Evaluación de riesgos de seguridad