IT 风险概况剖析是加强安全性的关键第一步
IT 风险概况剖析是加强安全性的关键第一步
什么是风险概况剖析 我们为什么需要?
每个成功的信息安全计划都需要评估现有系统和正在实施的新 IT 风险管理流程。质疑任何新软件应用程序的安全状况并在全面实施之前对其可能存在的漏洞进行审查是有益的。当新的合规标准或监管措施浮出水面时,重新评估和验证 IT 系统和资产也是一项有价值的练习。所有这些都是有效的 IT 风险管理计划的一部分。
风险概况剖析原则
1. 风险分析必须考虑可能受此风险影响的所有利益相关者的需求。
2. 风险必须降至监管机构和潜在相关方认为可接受的程度。
3. 保障措施的负担不得超过它们为自己辩护的威胁。
风险评估实践
1. 风险分析考虑了此类风险产生巨大影响的可能性。
2. 相同的标准用于评估风险和保障措施,以便它们具有可比性。
3. 影响和可行性评级具有定性方面,以简明的方式指定相关方、监管机构和审查机构。
4. 影响和可行性评级是从比较所有评估的风险、预防措施和风险接受要求的数值计算得出的。
5. 影响的定义保证了对一个群体的伤害程度等同于对其他群体的伤害程度。
6. 影响的定义应明确限制适合所有各方的维度和不适合的维度。
7. 影响地址的定义;组织的任务或效用,以澄清组织和其他人是否涉及风险,组织的自利关注,以及组织保护他人免受伤害的义务。
8. 为了分析现有的控制和推荐的保护措施,风险分析取决于护理质量。
9. 风险由使用数据确定威胁和预防措施的主题专家进行评估。
10. 风险评估不能衡量所有可能的风险。随着时间的推移,为了定义和解决进一步的威胁,需要重新进行风险评估。
IT风险评估的两种方法
IT风险评估的两种方法
定量IT风险评估
定性IT 风险评估
定量IT风险评估
定量评估使用货币金额来衡量风险。它使用数学公式为您提供与特定风险相关的预期损失值,基于:
- 资产价值
- 风险发生的频率
- 相关损失的概率
在服务器故障的示例中,定量评估将涉及查看:
- 服务器的成本或它产生的收入
- 服务器多久崩溃一次
- 每次坠毁所产生的估计损失
根据这些值,您可以进行几个关键计算:
- 单次损失预期 - 如果事件发生一次,您将产生的费用
- 年发生率 - 您预计这种风险每年会发生多少次
- 年度损失预期 - 一年中的总风险值
找到一个计算年化预期损失的公式。
这些货币结果可以帮助您避免花费过多的时间和金钱来降低可忽略不计的风险。例如,如果威胁不太可能发生或补救成本很低或根本不需要,那么它可能对您的业务构成低风险。
但是,如果您的关键 IT 系统可能发生威胁,并且修复成本可能很高或可能对您的业务产生不利影响,则您应该将其视为高风险。
您可能希望使用此风险信息来进行成本/收益分析,以确定什么样的投资水平会使风险处理变得有价值。
请记住,风险的定量衡量只有在您拥有良好数据时才有意义。您可能并不总是拥有必要的历史数据来计算 IT 相关风险的概率和成本估算,因为它们可能变化非常快。
定性IT 风险评估
定性风险评估是基于意见的。它依靠判断来根据概率和影响对风险进行分类,并使用评级量表将风险描述为:
- 低 - 不太可能发生或影响您的业务
- 中等 - 可能发生和影响
- 高 - 很可能发生并显着影响您的业务
例如,您可能会将您预计一年会发生几次的事情归类为“高概率”。您可以在任何看起来有用的术语中对成本/影响执行相同的操作,例如:
- 低 - 最多会损失半小时的生产时间
- 中 - 将导致完全关闭至少三天
- 高 - 会给企业造成不可挽回的损失
确定您的评级后,您可以创建一个风险评估矩阵来帮助您对每个风险事件的风险级别进行分类。这最终可以帮助您决定使用控制措施来减轻哪些风险,以及接受或转移哪些风险。
在 IT 风险评估中使用不同类型的信息
通常,最好使用混合方法进行 IT 风险评估,结合定量和定性分析的要素。
您可以使用定量数据来评估资产价值和预期损失,还可以让您的企业中的人参与进来,以获得他们的专家洞察力。这可能需要时间和精力,但与每种方法单独提供的数据相比,它也可以更好地了解风险和更好的数据。
通常,最好使用混合方法进行 IT 风险评估,结合定量和定性分析的要素。
您可以使用定量数据来评估资产价值和预期损失,还可以让您的企业中的人参与进来,以获得他们的专家洞察力。这可能需要时间和精力,但与每种方法单独提供的数据相比,它也可以更好地了解风险和更好的数据。
博迅提供多种Risk Profiler 风险概况剖析软件以及专业的服务
博迅提供多种Risk Profiler 风险概况剖析软件以及专业的服务
如下软件:
组织确保风险缓解能够满足公司内外各方的需求,并通过使用相同参数管理风险及其建议的预防措施,向监管机构和法官确认他们的理性决定。
简单的 IT 风险评估软件通过自动安全帐户配置帮助实施网络安全策略