日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
如何用安全風險分析來評估可接受的風險等級

網(wǎng)絡(luò)風險多種多樣:停電可以停掉整個網(wǎng)絡(luò),黑客可以入侵服務(wù)器,惡意的內(nèi)部人士可以通過USB盤竊取敏感信息,這些只是些比較明顯的例子。潛在的風險太多了,以至于很難確定企業(yè)可以承受的風險,不能承受的風險,以及在降低到一個可接受的風險級別時企業(yè)可以應(yīng)付的風險。

目前創(chuàng)新互聯(lián)已為上千的企業(yè)提供了網(wǎng)站建設(shè)、域名、虛擬主機、網(wǎng)站運營、企業(yè)網(wǎng)站設(shè)計、黃陂網(wǎng)站維護等服務(wù),公司將堅持客戶導向、應(yīng)用為本的策略,正道將秉承"和諧、參與、激情"的文化,與客戶和合作伙伴齊心協(xié)力一起成長,共同發(fā)展。

要減少停電的風險,我們可以投資一套備用發(fā)電機,但是要想降低黑客成功攻入網(wǎng)絡(luò)的風險應(yīng)該怎么做了?這個風險永遠也不可能完全排除,所以確定將其降低為可接受的風險級別所需花費就很重要了。本指南將介紹如何通過企業(yè)安全風險分析來達到這個目的。

在企業(yè)中定義一個可接受的風險級別

可接受的風險級別應(yīng)該由管理層根據(jù)業(yè)務(wù)的法律和監(jiān)管遵從責任,以及它的風險類型和業(yè)務(wù)驅(qū)動來決定。還應(yīng)該考慮風險對業(yè)務(wù)的影響,例如業(yè)務(wù)收入損失、意外花銷,以及風險發(fā)生時所帶來的生產(chǎn)停滯。信息安全專業(yè)人士應(yīng)該作為風險和管理層之間的媒介,解釋潛在的安全風險對業(yè)務(wù)目標的影響,以便他們在風險和可接受的風險等級之間取得平衡。

例如,即時通訊可以給特定的業(yè)務(wù)帶來巨大的生產(chǎn)力,但是它也為病毒和惡意軟件敞開了大門。定性和定量分析可以比較即時通訊的業(yè)務(wù)價值和病毒感染造成的成本以及降低病毒風險的企業(yè)即時通訊服務(wù)器的成本。

但是如果即時通信的風險迅速增長該怎么辦?這個時候,使用即時通信的企業(yè)就需要重新評估繼續(xù)使用即時通信是否在它可以接受的風險等級之內(nèi)。如果不是,他們要決定是禁用它、增加額外的安全控制還是簡單地做員工安全意識培訓。每個企業(yè)都有自己的度量風險的方法和公式,但是評估特定風險的決策過程都應(yīng)該從安全風險評估開始。

進行一次安全風險分析

一個企業(yè)安全風險分析應(yīng)該包括以下幾步:

◆確定公司資產(chǎn)

◆給每個資產(chǎn)指定一個所有者,并按關(guān)鍵程度進行分級

◆識別每個資產(chǎn)的潛在弱點以及相關(guān)的威脅

◆評估特定資產(chǎn)的風險  

在這個基礎(chǔ)上,再找出降低風險的必要措施,并對這些措施進行成本效益分析,以便高級管理層能夠決定如何處理每個風險?;谙嚓P(guān)的成本和效益,他們有4個選擇:

1.接受風險。

2.避免風險。

3.通過實施建議的措施來減輕或者改變風險。

4.通過購買保險來轉(zhuǎn)移風險?! ?/p>

但是,要知道沒有什么措施能夠完全地消除風險。風險總是會有一些的;回到上面即時通信的例子,即使企業(yè)即時通信服務(wù)器有增強的安全性,它也不能完全消除惡意軟件感染或者數(shù)據(jù)泄露的風險。最終的目標是使這個“殘余風險”在公司所能接受的風險等級內(nèi)。

風險和業(yè)務(wù)一樣總是在變化。例如,如果一個公司決定自己維護它的在線支付系統(tǒng),這可能就提高了遭受網(wǎng)絡(luò)攻擊的風險,所以就需要更強的防護,以及保護支付系統(tǒng)免受內(nèi)部威脅的安全規(guī)章來把風險降低到可接受的水平。它還會面臨額外的風險,即違反支付卡行業(yè)數(shù)據(jù)安全標準(PCI DSS),這就是為什么風險分析除了業(yè)務(wù)驅(qū)動和目標之外,還必須考慮法規(guī)和法規(guī)遵從的原因。

關(guān)于風險會如何變化的一個好例子,就是針對谷歌中國的“Aurora攻擊行動”。這些攻擊帶來的風險使Goolge無法接受,該公司的反應(yīng)是避免這一風險再提高,即退出中國。盡管這是一個極端的例子,多數(shù)公司不太會受到這種程度的攻擊,但它還是很完美地詮釋了風險承受力能夠也應(yīng)該成為一個決定性因素,不只是在做IT安全和策略決定的時候要考慮到,在確定整個公司的策略的時候也應(yīng)該考慮到。

如你所見,確定一個可接受的風險不是一個一次性工作,它需要在業(yè)務(wù)活動或者業(yè)務(wù)所在的環(huán)境發(fā)生劇變時再次進行。不管這意味著更新規(guī)章和培訓還是改進安全控制和應(yīng)變計劃,都需要持續(xù)地監(jiān)控風險,以保證風險、安全和盈利能夠達到合理的平衡。

【編輯推薦】

  1. 我國信息安全風險評估的現(xiàn)狀與發(fā)展
  2. 完全解密企業(yè)信息安全風險評估

文章名稱:如何用安全風險分析來評估可接受的風險等級
鏈接地址:http://www.dlmjj.cn/article/coscidg.html