终端安全风险管理-评估成果

2023-11-23 理论教育版权反馈

【摘要】：终端安全风险评估是信息安全风险评估的重要组成部分，主要依据信息安全风险评估相关的技术和管理标准，对终端系统及其所存储、处理和传输的信息数据所面临的威胁，以及威胁利用脆弱性导致安全事件的可能性进行识别分析，结合终端资产价值来判断终端安全事件一旦发生对组织所造成的影响。依据信息安全风险评估理论，终端安全风险评估工作中主要遵循以下几个原则：1）评估工作流程的可操作性原则。

终端安全风险评估是信息安全风险评估的重要组成部分，主要依据信息安全风险评估相关的技术和管理标准，对终端系统及其所存储、处理和传输的信息数据所面临的威胁，以及威胁利用脆弱性导致安全事件的可能性（即终端安全风险）进行识别分析，结合终端资产价值来判断终端安全事件一旦发生对组织所造成的影响。

依据信息安全风险评估理论，终端安全风险评估工作中主要遵循以下几个原则：

1）评估工作流程的可操作性原则。

2）评估工作质量的可控制性原则。

3）评估工作风险的可规避性原则。

4）评估工作内容的保密性原则。

5）评估工作最小化的影响原则。(www.chuimin.cn)

终端安全风险评估过程中应综合运用定性与定量的方法，合理处理“主观与客观之间的关系，立足于“个性分析数据”，运用“共性分析数据”对终端安全风险进行识别。

终端安全风险评估常用的流程图5-1所示。

图5-1 终端安全风险评估参考流程示意图

经过终端安全风险评估将获得一系列终端安全风险点，必须将这些识别出的风险点清晰的描述出来，避免在风险分析报告因缺少必要描述和格式化的描述方式，而使人“不知所云”，进而在风险管控工作中“不知所措”。因此，本书对每一个风险点都从其发生的可能性和影响角度进行了详细阐述，并对每一类风险进行了更为细致的分析，针对每一威胁场景进行了阐述——即对每一类风险均拆解为风险点进行阐述。具体参见附录：终端安全风险分析报告。

基于详细的风险描述和格式化的展示方式，可以把每个风险点解释得比较清楚，但从总体上各个风险点还是孤立的，非层次化的，不利于整体把控风险，容易导致“只见树木，不见森林”的状况。因此，在通常所用的简单的列表的基础上，一定要以体系的方式展示风险，基于一定的分类、层次化构建方式来表明每个风险点在体系中所处的位置，便于组织从整体上监控风险。

终端安全风险管理-评估成果

相关推荐