下载掌阅APP,畅读海量书库
立即打开
在风险评估过程中,有下列几个关键的问题需要考虑。
● 要确定保护的对象(或者资产)是什么?它的直接和间接价值如何?
● 资产面临哪些潜在威胁?导致威胁的问题是什么?威胁发生的可能性有多大?
● 资产中存在哪些弱点可能会被威胁或利用?利用的容易程度又如何?
● 一旦发生威胁事件,组织会遭受怎样的损失或者面临怎样的负面影响?
● 组织应该采取怎样的安全措施才能将风险带来的损失降低到最低程度?
解决以上问题的过程,就是风险评估的过程。
进行风险评估时,有下列几个对应关系必须考虑。
● 每项资产可能面临多种威胁。
● 威胁源(威胁代理)可能不止一个。
● 每种威胁可能利用一个或多个弱点。