風險評估框架是一個策略,用於優先考慮和分享有關信息技術(IT)基礎設施安全風險的信息。它有三個重要組成部分:共享的辭彙、連貫的評估方法和報告制度。
基本介紹
- 中文名:風險評估框架
- 外文名:Risk assessment framework
風險評估框架(RAF,risk assessment framework)是一個策略,用於優先考慮和分享有關信息技術(IT)基礎設施安全風險的信息。
好的風險評估框架所組織和呈現的信息,技術和非技術人員都可以理解。它有三個重要組成部分:共享的辭彙、連貫的評估方法和報告制度。
風險評估框架(RAF)提供的共同觀點可以幫助組織了解哪些系統受濫用或攻擊的風險最低和哪些風險最高。風險評估框架提供的數據對積極主動地解決潛在威脅、規劃預算和創造一種文化是很有用的,並且數據的價值也被理解和讚賞。
有一些風險評估框架是作為行業標準接受的:
- 國家標準協會的信息技術系統風險管理指南(NIST指南)。
- 計算機緊急事務回響小組的可操作的關鍵威脅、資產和薄弱點評估(OCTAVE)。
- 信息系統審計與控制協會的信息及相關技術控制目標(COBIT)。
要建立風險管理框架,一個組織可以使用或修改NIST指南、OCTAVE或COBIT或創建一個適合組織業務需求的室內框架。要構建框架就應該:
1.清查和分類所有IT資產。
資產包括硬體、軟體、數據、流程和外部系統的接口。
資產包括硬體、軟體、數據、流程和外部系統的接口。
2.識別威脅。
除了對系統的惡意訪問或惡意攻擊等威脅外,還要考慮自然災害或停電。
除了對系統的惡意訪問或惡意攻擊等威脅外,還要考慮自然災害或停電。
3.確定相應的安全漏洞。
關於安全漏洞的數據可從安全性測試和系統掃描中獲得。同時,也應考慮有關已知軟體或供應商問題的零散信息。
關於安全漏洞的數據可從安全性測試和系統掃描中獲得。同時,也應考慮有關已知軟體或供應商問題的零散信息。
4.優先潛在風險。
確定三個階段的優先次序:評估現有的安全控制、確定違反這些控制的可能性和影響、分配風險等級。
確定三個階段的優先次序:評估現有的安全控制、確定違反這些控制的可能性和影響、分配風險等級。
5.記錄風險和確定行動。
這是一個持續的過程,為問題報告預置計畫。報告應該記錄所有IT資產的風險程度,確定組織願意容忍和接受的風險級別,並在每個實施和維護安全控制中確定程式。
這是一個持續的過程,為問題報告預置計畫。報告應該記錄所有IT資產的風險程度,確定組織願意容忍和接受的風險級別,並在每個實施和維護安全控制中確定程式。
