風險評估框架
出自 MBA智库百科(https://wiki.mbalib.com/)
風險評估框架(Risk Assessment Framework; RAF)
目錄 |
風險評估框架是指一個用於優先考慮和分享有關信息技術(IT)基礎設施安全風險的信息的策略。好的風險評估框架所組織和呈現的信息,技術和非技術人員都可以理解。它有三個重要組成部分:共用的辭彙、連貫的評估方法和報告制度。
風險評估框架提供的共同觀點可以幫助組織瞭解哪些系統受濫用或攻擊的風險最低和哪些風險最高。風險評估框架提供的數據對積極主動地解決潛在威脅、規劃預算和創造一種文化是很有用的,並且數據的價值也被理解和贊賞。
有一些風險評估框架是作為行業標準接受的:
國家標準協會的信息技術系統風險管理指南(NIST指南)。
電腦緊急事務響應小組的可操作的關鍵威脅、資產和薄弱點評估(OCTAVE)。
信息系統審計與控制協會的信息及相關技術控制目標(COBIT)。
要建立風險管理框架,一個組織可以使用或修改NIST指南、OCTAVE或COBIT或創建一個適合組織業務需求的室內框架。要構建框架就應該:
1、清查和分類所有IT資產。
資產包括硬體、軟體、數據、流程和外部系統的介面。
2、識別威脅。
除了對系統的惡意訪問或惡意攻擊等威脅外,還要考慮自然災害或停電。
3、確定相應的安全漏洞。
關於安全漏洞的數據可從安全性測試和系統掃描中獲得。同時,也應考慮有關已知軟體或供應商問題的零散信息。
4、優先潛在風險。
確定三個階段的優先次序:評估現有的安全控制、確定違反這些控制的可能性和影響、分配風險等級。
5、記錄風險和確定行動。
這是一個持續的過程,為問題報告預置計劃。報告應該記錄所有IT資產的風險程度,確定組織願意容忍和接受的風險級別,併在每個實施和維護安全控制中確定程式。
圖中方框部分的內容為風險評估的基本要素,橢圓部分的內容是與這些要素相關的屬性。風險評估圍繞著資產、威脅、脆弱性和安全措施這些基本要素展開,在對基本要素的評估過程中,需要充分考慮業務戰略、資產價值、安全需求、安全事件、殘餘風險等與這些基本要素相關的各類屬性。
圖中的風險要素及屬性之間存在著以下關係:
(1)業務戰略的實現對資產具有依賴性,依賴程度越高,要求其風險越小;
(2)資產是有價值的,組織的業務戰略對資產的依賴程度越高,資產價值就越大;
(3)風險是由威脅引發的,資產面臨的威脅越多則風險越大,並可能演變成為安全事件;
(4)資產的脆弱性可能暴露資產的價值,資產具有的弱點越多則風險越大;
(5)脆弱性是未被滿足的安全需求,威脅利用脆弱性危害資產;
(6)風險的存在及對風險的認識導出安全需求;
(7)安全需求可通過安全措施得以滿足,需要結合資產價值考慮實施成本;
(8)安全措施可抵禦威脅,降低風險;
(9)殘餘風險有些是安全措施不當或無效,需要加強才可控制的風險;而有些則是在綜合考慮了安全成本與效益後不去控制的風險;
(10)殘餘風險應受到密切監視,它可能會在將來誘發新的安全事件。
