信息安全风险管理要素

日期:2016-11-16作者:Peter Sullivan

【TechTarget中国原创】

为网络安全做准备,企业必须满足基本的网络安全目标。网络安全准备是指能够检测并有效响应来自网络外部以及内部的计算机安全泄露事故和入侵、恶意软件攻击、网络钓鱼攻击以及数据和知识产权窃取。

在本文中,我们将主要探讨风险,因为它影响着信息与信息系统。保护信息是一个业务问题,解决方案并不只是部署技术(防火墙和防病毒网关等),然后不管不顾,并全权依赖保护。企业必须采取积极主动的方法来发现及保护其最重要的资产,包括信息、信息技术和关键业务流程。信息安全风险管理让企业可评估其试图保护的内容及原因,以作为确定安全措施的决定性支持要素。全面的信息安全风险评估应该允许企业根据其业务和组织需求来评估其安全需求和风险。

请记住,信息系统及其所包含数据的作用时支持业务流程,也是支持企业实现目标。在实际中,信息是支持企业及其使命的基本要素,它有助于维持企业运营。

风险定义

根据卡内基梅隆大学软件工程研究所的OCTAVE风险评估方法显示,风险是指:“遭受破坏或损失的可能性。”威胁是风险的组成部分,可以被认为是:威胁行为者(人类或非人类)采取某种行动,例如识别和利用漏洞,导致意想不到和不想要的结果,例如信息丢失、修改或披露,或者失去对信息的访问权限。这些结果对企业将带来负面影响,这些影响可能包括:收益或客户流失、市场差异化损失、事故响应及恢复的成本以及罚款和监管惩罚的成本。

信息安全风险组成部分

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

企业安全风险管理>更多

相关推荐

技术手册>更多

  • 移动设备安全

    随着技术的日新月异,移动设备正逐渐担当着越来越重要的角色,智能手机的功能越来越强大并且能够提供类似于台式电脑和笔记本电脑的功能,新的移动技术和像iPhone具有Wi-Fi功能产品的广泛使用可能为新的攻击类型敞开门户——网络犯罪正通过移动设备向人们靠近……

  • 恶意软件检测与防御

    一般来说,恶意软件只是进入系统的切入点,通过下载和安装其他应用来获取管理权限,完成攻击。然而,随着网络安全战的持续胶着,威胁环境日益复杂,恶意软件也在连番升级……

  • 清除间谍软件

    本文将帮助理解间谍软件、它的来源、行为方式和引起的问题,并提供一些清除间谍软件的技术,以及如何防御将来的入侵。

  • 经济危机下的IT安全

    2008年的爆发的经济危机,影响遍布各行各业,IT也受到很大的冲击。经济不景气总是犯罪的最佳时机,对敏感数据、客户和架构的威胁都在大幅增加,恶意网站、不满的员工、控制不好的合作伙伴、安全预算的缩减,各种威胁的频繁出现等都给安全带来了更多的不稳定性。那么企业面对这样的形势,应该怎么作呢?本专题综合了一些安全专家的意见和建议,希望能为企业的安全形势提供帮助。

TechTarget

最新资源
  • 存储
  • CIO
  • 数据库
  • 网络
  • 数据中心
  • 云计算
【TechTarget中国原创】

为网络安全做准备,企业必须满足基本的网络安全目标。网络安全准备是指能够检测并有效响应来自网络外部以及内部的计算机安全泄露事故和入侵、恶意软件攻击、网络钓鱼攻击以及数据和知识产权窃取。

在本文中,我们将主要探讨风险,因为它影响着信息与信息系统。保护信息是一个业务问题,解决方案并不只是部署技术(防火墙和防病毒网关等),然后不管不顾,并全权依赖保护。企业必须采取积极主动的方法来发现及保护其最重要的资产,包括信息、信息技术和关键业务流程。信息安全风险管理让企业可评估其试图保护的内容及原因,以作为确定安全措施的决定性支持要素。全面的信息安全风险评估应该允许企业根据其业务和组织需求来评估其安全需求和风险。

请记住,信息系统及其所包含数据的作用时支持业务流程,也是支持企业实现目标。在实际中,信息是支持企业及其使命的基本要素,它有助于维持企业运营。

风险定义

根据卡内基梅隆大学软件工程研究所的OCTAVE风险评估方法显示,风险是指:“遭受破坏或损失的可能性。”威胁是风险的组成部分,可以被认为是:威胁行为者(人类或非人类)采取某种行动,例如识别和利用漏洞,导致意想不到和不想要的结果,例如信息丢失、修改或披露,或者失去对信息的访问权限。这些结果对企业将带来负面影响,这些影响可能包括:收益或客户流失、市场差异化损失、事故响应及恢复的成本以及罚款和监管惩罚的成本。

信息安全风险组成部分

信息安全风险有几个重要组成部分:

信息安全风险最后且最重要的组成部分是受风险影响的资产,包括信息、过程和技术。假设资产风险无法消除,信息安全风险的唯一可控制的组件就是漏洞。我们可通过以下操作来控制漏洞:

还有一种情况是零日漏洞,企业无法抵御未知漏洞带来的特定结果和影响,并且没有机会制定策略来减少可能性和影响。

风险管理

信息安全风险是发现、了解、评估和缓解风险及其根本漏洞的过程,也是了解对信息、信息系统以及依靠信息为其运营的企业的影响的过程。除了识别风险和风险缓解措施之外,风险管理方法和流程也将有所帮助:

识别关键信息资产。风险管理程序可被扩展到识别关键人物、业务流程和技术。

了解所选择的关键资产对运营、任务完成以及业务连续性的重要性。

为了满足风险管理作为网络安全准备组件的目标,企业必须构建强大的信息安全风险评估和管理程序。如果企业风险管理(ERM)程序已经存在,还可部署信息安全风险管理程序来支持ERM流程。

用于构建信息安全风险管理程序的资源包括:

信息安全风险管理程序的其他要素包括: