¿Qué procesos están involucrados en la evaluación de riesgos?
1. Preparación de la evaluación de riesgos
La tarea principal de esta etapa es formular un plan de trabajo de evaluación, incluidos los objetivos de la evaluación, el alcance de la evaluación y el plan de trabajo de la evaluación de riesgos de seguridad. Según las necesidades del trabajo de evaluación, evaluar el equipo y aclarar las responsabilidades de todas las partes.
2. Proceso de identificación de activos
La identificación de activos se completa principalmente mediante la emisión de un formulario de encuesta de activos a la parte evaluada. Al realizar tasaciones de activos, con base en la lista de activos proporcionada por el tasado, se marcan los activos importantes y críticos, y se clasifican en detalle los activos dentro del alcance de la tasación. Según la forma de manifestación de los activos, los activos se pueden dividir en datos, software, hardware, servicios y personal.
Asigne confidencialidad, integridad, disponibilidad e importancia de los activos a los activos en función de sus diferentes requisitos de confidencialidad, integridad y disponibilidad.
3. Proceso de identificación de amenazas
En la fase de evaluación de amenazas, los evaluadores combinan las amenazas comunes creadas por el hombre, sus posibles motivos, debilidades explotables, posibles métodos de ataque y consecuencias. Una vez completada la identificación de la amenaza, también se debe evaluar la probabilidad de que se produzca, enumerarla como amenaza, describir los atributos de la amenaza y asignarle la frecuencia.
4. Proceso de identificación de vulnerabilidades
Las vulnerabilidades se dividen en vulnerabilidades de gestión y vulnerabilidades técnicas. Las vulnerabilidades de gestión se logran principalmente mediante la publicación en teléfonos móviles de cuestionarios de vulnerabilidad de gestión, entrevistas y análisis de los sistemas de gestión existentes. Las vulnerabilidades técnicas se identifican principalmente mediante herramientas profesionales de detección de vulnerabilidades e inspecciones de diversas configuraciones de seguridad de software y hardware dentro del alcance de la evaluación. Una vez que se completa la identificación de la vulnerabilidad, se debe asignar una gravedad de vulnerabilidad para un activo específico. Cuanto mayor sea el valor, mayor será la gravedad de la vulnerabilidad.
5. Confirmación de las medidas de seguridad existentes
Las medidas de seguridad se pueden dividir en medidas de seguridad preventivas y medidas de seguridad protectoras. Las medidas de seguridad preventivas pueden reducir la posibilidad de incidentes de seguridad causados por la vulnerabilidad a las amenazas, como los sistemas de detección de intrusiones, las medidas de seguridad protectoras pueden reducir el impacto de los incidentes de seguridad en una organización o sistema;
6. Proceso de análisis de riesgos
Una vez completados los pasos anteriores, se utilizarán métodos y herramientas adecuados para realizar análisis y cálculos de riesgos de seguridad. Puede elegir el método de cálculo de riesgo correspondiente para calcular el valor del riesgo según su propia situación, como el método matricial o la multiplicación. Si el valor del riesgo está dentro del rango aceptable, el riesgo se cambia a un riesgo aceptable; si el valor del riesgo está fuera del rango aceptable, se requieren medidas de seguridad para reducir el riesgo de control.