risk assessment framework (RAF):
风险评估框架(RAF)是一个优先战略和分享的信息安全风险的信息技术(IT)的基础设施。
一个好的英国皇家空军组织和展示信息,技术和非技术两peonnel undetand。它有三个重要部分:一个共享的词汇,coistent评估方法和报告制度。
常见视图的英国皇家空军提供了帮助一个组织看到系统滥用或攻击的低风险和高风险。一个皇家空军提供的数据是有用的预先应对潜在威胁,计划预算和创建一个文化中,数据是undetood和欣赏的价值。
有几个风险评估框架,接受为行业标准,包括:
风险管理指南信息技术系统(NIST指南)的国家Ititute标准。
操作至关重要的威胁,资产,和脆弱性评估从计算机紧急响应小组(八度)。
信息及相关技术的控制目标(COBIT)信息系统审计与控制协会。
创建一个风险管理框架,一个组织可以使用或修改NIST指南,八度或COBIT或者创建一个框架内部符合组织的业务需求。然而框架构建,它应该:
1。库存和归类所有IT资产。资产包括硬件、软件、数据、流程和外部系统的接口。
2。识别的威胁。自然disaste或停电应coidered除了威胁如恶意访问系统或恶意软件攻击。@ 3 !确定相应的漏洞。数据可以从安全漏洞检测和sca系统。轶事信息已知的软件和/或供应商问题也应该coidered。
4。优先考虑潜在的风险。优先级有三个sub-phases:评估现有的安全控制,确定违约的可能性和影响基于这些控件,和分配风险水平。
5。文档的风险并确定行动。这是一个持续的过程,预先确定的时间表发出报告。报告应该文档的风险水平,资产近定义什么是风险水平组织愿意容忍和接受和识别程序在每个实现和维护安全控制风险水平。
这是适合发表在2010年10月
最近更新时间:2015-08-28 EN
相关推荐
-
如何保护AI基础设施:最佳做法
AI和生成式AI给企业带来巨大的创新机会,但随着这些工具变得越来越普遍,它们也吸引着恶意攻击者来探测其潜在漏洞 […]
-
最常见的数字身份验证方式?
数字身份验证是验证用户或设备身份的过程,以便能够访问敏感应用程序、数据和服务。现在有多种方法可以验证身份。以下 […]
-
零信任策略使网络面临横向威胁
很多公司忽视零信任安全的核心原则:假设网络已经受到攻击。 企业管理协会(EMA)的研究发现这个被忽视的零信任原 […]
-
企业中通行密钥的好处和挑战
尽管密码是主要身份验证方式,但它们是企业安全的薄弱环节。数据泄露事故和网络钓鱼攻击利用被盗或弱密码,让企业面临 […]