精华内容
下载资源
问答
  • 2020-02-15 14:50:57

    上篇《基于数据安全的风险评估-脆弱性识别》,是从脆弱性识别内容、识别方式、脆弱性定级,三个部分进行介绍。与脆弱密切相关的是威胁,威胁是一种对组织及资产构成潜在破坏的可能性因素,威胁需要利用资产脆弱性才能产生危害。造成威胁的因素可分为人为因素(恶意和非恶意)和环境因素(不可抗力和其它)。本篇威胁性识别将从威胁来源、威胁识别与分类、威胁等级划分三个部分进行介绍。

    一、威胁来源

    在对威胁进行分类前,首先需要考虑威胁来源,威胁来源包括环境因素及人为因素,环境因素包括:断电、静电、温度、湿度、地震、火灾等,由于环境因素是共性因素(信息系统评估与数据安全品评估),本篇不过多做介绍。而认为因素可参考如下示例图。

    数据威胁示例图

    二、威胁识别与分类

    威胁识别在风险评估过程中至关重要,威胁识别的准确性直接影响识别风险评估及后续的安全建设方向,所以丰富的数据威胁识别内容或分类,影响整体风险评估质量。

    威胁识别可分为管理和技术两大类,具体如下示例图:

    威胁识别示例图

    三、威胁等级划分

    判断威胁出现的频率是威胁识别的重要内容,在威胁等级评估中,需要从三个方面考虑:

    1.发生在自身安全事件中出现过的威胁及频率;

    2.通过检测工具及各种日志主动发现的威胁及其频率;

    3.社会或特定行业威胁及其频率。(如前几年的携程事件)。

    通过对威胁频率进行等级处理,不同等级分别代表威胁出现的频率高低,等级数值越大,其威胁出现频率越高,具体如下示例图。

    威胁等级划分示例图

    下章介绍数据资产风险分析及综合风险评估分析(结合资产识别、威胁识别、脆弱性识别、风险),主要包括风险计算、风险判定及综合风险分析表。

    资产识别与脆弱性识别请见:

    基于数据安全的风险评估-数据资产识别

    基于数据安全的风险评估-脆弱性识别​​​​​​​

    更多相关内容
  • 电信网和互联网数据安全风险评估实施方法
 1 范围
本标准提供以数据为核心保护对象的面向应用场景的风险评估方法论,规定了电信网和互联网数据安全风险评估的基本原则、基本要素及各要素之间的关系、实施流程、...
  • 数据资产识别是数据安全风险评估的基础 数据应用场景是识别数据安全风险的主线 数据安全风险评估结果支撑实施数据安全分类分级管理 数据安全风险评估方法 数据安全风险评估实施指南 数据安全评估实施流程 风险处置 ...
  • 数据安全风险评估
  • 2021数据安全治理之数据安全风险评估白皮书
  • 信息安全风险评估理论 数据安全风险评估方法 数据安全风险评估实施指南 欧美数据保护相关法律和监管已经引入风险控制思想 欧盟《一般数据保护条例》(GDPR) 美国《2018年加州消费者隐私法案》(CCPA)
  • 网络安全,风险评估方法,策略,以及欧美建立此规则的经验
  • 数据安全成熟度和风险评估清单
  • 数据安全风险评估总结.docx
  • 数据安全风险评估实施方法思维导图。本文件内容来自于YD/T 3801-2020电信网和互联网数据安全风险评估实施方法。
  • YDT3801-2020电信网和互联网数据安全风险评估实施方法.pdf
  • 2021《金融数据安全 数据安全评估规范(征求意见稿)》
  • 数据安全风险评估总结.zip
  • 《智能网联汽车数据安全风险评估》编制说明.pdf
  • 中华人名共和国通信行业标准-电信网和互联网安全风险评估实施指南
  • 综合安全事件作用资产价值及脆弱性的严重程度,判断事件造成的损失及对组织的影响,即安全风险。 风险分析原理 本篇将从风险计算、风险结果判定、风险处置、风险评估四个方面进行介绍。 一、风险计算形式及关键...

    完成了资产识别、脆弱性识别及威胁识别后(链接请见文章末尾处),我们可以采用适当的方法和工具确定威胁利用脆弱性导致安全事件发生的可能性。综合安全事件作用资产价值及脆弱性的严重程度,判断事件造成的损失及对组织的影响,即安全风险。

    基于数据安全的风险评估-风险分析与评估

    风险分析原理

    本篇将从风险计算、风险结果判定、风险处置、风险评估四个方面进行介绍。

    一、风险计算形式及关键环节

    风险计算原理其范式形式如下:

    风险值=R(A,T,V)=R(L(T,V),F(Ia,Va));

    其中:R标识安全风险计算函数。A表示资产;T表示威胁;V表示脆弱;Ia表示资产价值;Va表示脆弱性的严重程度。L表示威胁利用资产的脆弱性导致安全事件发生的可能性。F表示安全事件发生后的损失。

    风险计算三个关键环节:

    安全事件发生的可能性=L(威胁频率,资产脆弱性)=L(T,V);

    安全事件发生后的损失=F(资产价值,脆弱性严重程度)=F(Ia,Va);

    风险值=R(安全事件发生的可能性,安全事件发生后的损失)=R(L(T,V),F(Ia,Va))

    目前业界风险计算通过二维矩阵或相乘法两种方式对风险进行计算,本文对计算方式不过多介绍。

    二、风险结果判定

    为了方便对风险控制和管理,可将风险划分多个等级(如:5级或3级),等级越高,风险也就越高。如下示例表:

    基于数据安全的风险评估-风险分析与评估

    风险等级划分示例表

    等级划分目的是为了风险管理过程中对不同风险的直观比较,应根据自身的业务特点和安全现状有针对性的划分风险等级,既要与自身业务“贴身”,又要符合外部合规性要求。

    三、风险处置

    对不可接受的风险,应根据该风险的脆弱性制定风险处置计划。风险处置计划要明确采取的弥补弱点的措施、预期效果、实施条件、进度安排、责任部门、协调部门等。安全措施应从管理和技术两个维度进行,管理可作为技术措施的补充。

    风险处置目的是以减少脆弱性或降低安全事件发生的可能性。

    四、风险评估

    风险处置完毕后应进行风险再评估,以判断实施安全措施后的残余风险是否已经降到了可接受水平。

    一般风险评估方式分为自评估和检查评估两类。

    自评估:由组织发起,以发现系统现有弱点,实施安全管理为目的。适用于对自身进行安全风险识别和评价,并选择合适的风险处置措施,降低评估资产的安全风险,定期性的评估可纳入数据安全管理规范及管理办法中。由于自评估受限于组织内部人员,可能缺乏评估专业技能,导致不够深入和准确,同时缺乏一定的客观性,所以一般是委托风险评估服务技术支持单位进行实施评估。

    检查评估:由被评估组织的上级主管机关或业务机关发起,通过行政手段加强安全的重要措施,一般是定期、抽样进行评估模式,旨在检查关键领域或关键点安全风险是否在可接受范围内。检查评估主要包括:

    1. 自评估方法的检查;
    2. 自评估过程记录检查;
    3. 自评估结果跟踪检查;
    4. 现有数据安全措施检查;
    5. 数据生命周期内数据控制检查;
    6. 突发事件应对措施检查;
    7. 数据完整性、可用性、机密性检查;
    8. 数据生命周期内数据审计、脱敏检查;

    五、总结

    数据安全风险评估与信息系统的风险评估应是子与父的关系,数据安全风险评估可融合其中也可独立与已有风险评估体系之外运转。风评实施前准备工作与信息系统风险评估一致,可从6个方面进行并形成闭环。

    基于数据安全的风险评估-风险分析与评估

    风险评估流程示例图

    基于数据安全的风险评估分四个部分已全部介绍完毕,写该系列文章其意义是发现业界没有针对数据层面进行风险评估体系化文章,所以利用自身数据安全经验,查阅了相关标准完成了以数据为中心的风险识别框架(如文中数据安全层面的脆弱性、威胁性等部分还待补充完善。),文中如有遗漏或者问题地方还请告知,以便我及时完善。

    资产识别、脆弱性识别、威胁识别请见:

    基于数据安全的风险评估-数据资产识别

    基于数据安全的风险评估-脆弱性识别

    基于数据安全的风险评估-威胁性识别

    展开全文
  • 2021数据安全治理白皮书.pdf
  • 根据《国家政务信息化项目建设管理办法》(国办发〔2019〕57号)密码应用与安全评估要求,依据《中华人民共和国密码法》及...用于引导非涉密国家政务信息系统建设单位和使用单位规范开展商用密码应用与安全评估工作
  • 政府开放数据作为国家和社会发展重要战略资源,蕴含着巨大价值,但我国在政府开放数据的安全风险评估方面缺乏标准,国家数据安全面临风险。借鉴信息安全风险评估理论,以国家安全资产、开放数据脆弱性和安全威胁作为...
  • 现今信息系统的风险评估体系已非常完善,但数据安全方面并没有形成相关评估内容,整个体系中缺少数据安全相关的检测与评估项,所以近期一直思考数据安全风险评估应是如何,应该从哪些方面进行检测与评估?...

    现今信息系统的风险评估体系已非常完善,但数据安全方面并没有形成相关评估内容,整个体系中缺少数据安全相关的检测与评估项,所以近期一直思考数据安全风险评估应是如何,应该从哪些方面进行检测与评估?威胁分类有哪些?脆弱性有哪些?如何与现有评估体系融合等问题。

    本文产生的目就是希望解决如上一系列数据安全风险评估疑问,尽可能从资产识别、威胁分类、脆弱性识别、风险计算、处置建议等5个环节进行完善,通过不断持续优化完善,以期实现基于数据安全风险评估的体系化建设。

    由于内容较多,所以本系列将分多章进行编写。第一章为资产识别,资产是安全保护的对象,是风险评估的主体,资产的识别是理清内容、看透价值的重要手段,只有准确的资产识别,才能产生有意义的风险评估报告。

    一、资产识别

    1.1 资产分类

    资产是具有价值的信息或资源,资产通常以多种形态存在,一般基于表现形式的资产分类包括:数据、软件、硬件、服务、文档、人员、其它。数据资产来讲,包括:源代码、数据库中数据、系统文档、用户手册等。

    数据安全资产包括关系型及非关系,结构化(关系型和非关系型可称为结构化数据)与非结构化。

    关系型包括:Oracle、Mysql、SQL Server等;

    非关系型包括:Hbase、Redis、MongodDB等;

    非结构化数据包括:文本(Word、Excel、PPT等)、媒体(视频、照片等)。

    1.2 资产赋值

    资产赋值不但需要从经济价值还需要考虑资产安全状况对系统或组织的重要性,所以资产赋值可从机密性、完整性和可用性三个方面进行对应赋值

    机密性

    根据资产在机密性上的不同要求,将其分为5个的等级,不同等级对应资产机密性破坏后对组织产生的影响。

    基于数据安全的风险评估-数据资产识别

    资产机密性赋值示例表

    完整性

    根据资产在完整性上的不同要求,将其分为5个的等级,不同等级对应资产完整性缺失后对组织产生的影响。

    基于数据安全的风险评估-数据资产识别

    资产完整性赋值示例表

    可用性

    根据资产在可用性上的不同要求,将其分为5个的等级,不同等级对应资产可用性异常后对组织产生的影响。

    基于数据安全的风险评估-数据资产识别

    资产可用性赋值示例表

    1.3 重要等级分类

    资产价值应依据机密性、完整性、可用性上的赋值等级,经过综合评定后最终确定。其重要等级也分为5个等级。如下图:

     

    基于数据安全的风险评估-数据资产识别

    资产登记示例图

    下章介绍数据资产脆弱性相关内容(资产识别+资产脆弱性=安全事件的损失),主要包括脆弱性识别内容、识别方式、脆弱性严重等级划分等。

    展开全文
  • 信息安全风险评估服务资质认证申请书 申请组织人员情况 申请组织业绩 申请组织管理情况 文件控制程序 申请组织设备设施与环境情况 申请组织风险评估服务能力 信息安全风险评估方案模板 信息安全风险评估报告模板 ...
  • 本《实施指南》以国家标准GB/T 20984-2007《信息安全技术信息安全风险评估规范》为基础,结合目前国内外相关的标准与方法,详细介绍了风险评估的内涵、实施流程、操作要点、记录结果等内容,为各单位实施自评估、...
  • 信息安全风险评估规范 随着政府部门、企事业单位以及各行各业对信息系统依赖程度的日益增强,信息安全问题受到普遍关注。运用风险评估去识别安全风险,解决信息安全问题得到了广泛的认识和应用。 信息安全风险评估...
  • 安全事件分析与政策 数据库风险与挑战 数据库风险评估系统
  • 食品安全风险评估数据挖掘方法的分析与择取.pdf
  • 分析了数据业务中存在的风险,指出了目前对数据保护所存在的问题,提出了以保护数据安全为目的的数据风险评估模型、评估方法及评估过程,为抵御入侵、保护数据安全提供了一种新的方法及手段。
  • 数据安全风险识别 数据安全风险评估 数据安全风险处置 数据安全风险监控 数据风险管控案例
  • 数据安全风险评估方法及实施指南 个人信息保护法视角下的企业数据保护合规制度建设 企业内外部数据防泄密建设方案大全 数据安全与隐私保护合规评估培训教材 奇安信数据安全法解读 数据安全能力建设实施指南 毕马威...
  • 云服务安全风险评估方法研究.pdf

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 62,340
精华内容 24,936
关键字:

数据安全风险评估