如何评估网络信息安全风险?
3、识别漏洞
漏洞是指存在一个或多个可能对评估对象构成威胁的管理、技术和业务漏洞。漏洞由经验或专家决定。一般标准见下表。采用相对水平法进行测量,水平值为1-3,其中1为最低,3为最高。
表:脆弱性分配标准
类别 | 描述 | 对应等级 |
技术保障 | 技术方面是否存在低等级缺陷,从技术角度是否易被利用。 | 3 |
攻击利用 | 对于攻击者来说,该漏洞目前是否能被直接或者间接利用,或者利用的难度。 | 3 |
管理控制 | 运营管理环节是否有相关的薄弱环节,被利用难易程度。 | 3 |
防范控制 | 是否有规定,是否严格审核、是否有记录校验等。 | 2 |
等级 | 标识 | 定义 |
3 | H(高) | 如果被威胁利用,将造成完全损害。 |
2 | M(中) | 如果被威胁利用,将造成一般损害。 |
1 | L(低) | 如果被威胁利用,造成的损害可以忽略。 |
4、计算风险值
风险计算公式:
风险值=影响范围 * 威胁可能性 * 脆弱严重性
根据风险计算公式得出风险值后可以对应其风险等级,如风险值在55-75分,表示风险极高
5、评价结论
评估报告不仅代表了脆弱性,还代表了基于威胁和脆弱性评估不符合评估标准的项目价值的风险评估分数。风险分数是根据评估对象的范围计算的,风险等级是由确定的分数(非常高、高、中、低、非常低)。如果评估点的漏洞测量值对应于公司的适当安全功能大于0,应及时向相应级别的信息安全部门报告和记录。如果评估点的风险值为中等或以上,则应将其纳入纠正措施并严格执行。监控和捕获,持续改进和更新相关信息安全措施和技术支持措施。上市后,应根据业务增长情况及时进行安全评估,确保信息安全风险由中介机构或以下机构管理。评估管理部门应组织评估专家组对“评估结论”进行评审,并在批准后公布评估结论。