risk assessment framework (RAF):
风险评估框架(RAF)是一个优先战略和分享的信息安全风险的信息技术(IT)的基础设施。
一个好的英国皇家空军组织和展示信息,技术和非技术两peonnel undetand。它有三个重要部分:一个共享的词汇,coistent评估方法和报告制度。
常见视图的英国皇家空军提供了帮助一个组织看到系统滥用或攻击的低风险和高风险。一个皇家空军提供的数据是有用的预先应对潜在威胁,计划预算和创建一个文化中,数据是undetood和欣赏的价值。
有几个风险评估框架,接受为行业标准,包括:
风险管理指南信息技术系统(NIST指南)的国家Ititute标准。
操作至关重要的威胁,资产,和脆弱性评估从计算机紧急响应小组(八度)。
信息及相关技术的控制目标(COBIT)信息系统审计与控制协会。
创建一个风险管理框架,一个组织可以使用或修改NIST指南,八度或COBIT或者创建一个框架内部符合组织的业务需求。然而框架构建,它应该:
1。库存和归类所有IT资产。资产包括硬件、软件、数据、流程和外部系统的接口。
2。识别的威胁。自然disaste或停电应coidered除了威胁如恶意访问系统或恶意软件攻击。@ 3 !确定相应的漏洞。数据可以从安全漏洞检测和sca系统。轶事信息已知的软件和/或供应商问题也应该coidered。
4。优先考虑潜在的风险。优先级有三个sub-phases:评估现有的安全控制,确定违约的可能性和影响基于这些控件,和分配风险水平。
5。文档的风险并确定行动。这是一个持续的过程,预先确定的时间表发出报告。报告应该文档的风险水平,资产近定义什么是风险水平组织愿意容忍和接受和识别程序在每个实现和维护安全控制风险水平。
这是适合发表在2010年10月
最近更新时间:2015-08-28 EN
相关推荐
-
专家称:美国政府入股英特尔无法解决长期困境
近日英特尔与美国政府达成协议,美国政府将入股英特尔,此举可能有助于应对科技行业的危机,但这并不意味着这家陷入困 […]
-
2025年如何吸引科技人才:7个要点
在争夺人才时,从首席信息官到一线招聘人员,都应该了解如何吸引出色的IT和技术团队。 提高工资、提供工作与生活的 […]
-
黑帽大会:Halcyon和Sophos联手阻击勒索软件
网络安全专家Halcyon和Sophos合作建立一家威胁情报共享合资企业,这两家公司将交换关键指标数据,例如威 […]
-
对于ASM,CISO角色可增加运行时安全、令牌化
攻击面管理(ASM)是不断发展的网络安全领域,ASM旨在识别内部和外部漏洞,提供建议,并观察新出现的威胁。如果 […]