《表2 脆弱性赋值表:面向政府信息系统的网络安全风险评估服务》
第二阶段是识别阶段,具体包括(1)资产评估,第一步是资产分类(具体的资产分类见表1);第二步是资产赋值,具体包括对资产的机密性、完整性、可用性的赋值和资产重要性等级的划分;(2)威胁评估,具体有威胁的识别和赋值,根据威胁出现频率的大小分为高危、中危和低危;(3)脆弱性识别,也叫弱点识别,根据官方的准则或者行业默认的规则,以组织的安全性为前提,对系统存在的脆弱性进行客观的、准确的安全评估,然后根据不同的等级对脆弱性进行赋值,本文提供了一种赋值的方法(赋值方法见表2),为读者提供参考;(4)评估安全控制措施,具体就是对已有安全措施的安全性进行调查,保持可以将风险控制在可接受范围内的安全措施,对不适当的安全措施进行替换或者修改,确保安全措施可以有效防护或者预防安全风险。
图表编号 | XD00173773200 严禁用于非法目的 |
---|---|
绘制时间 | 2020.05.01 |
作者 | 孙蕊刚、高瑞、魏玉峰 |
绘制单位 | 陕西省网络与信息安全测评中心、陕西省网络与信息安全测评中心、陕西省网络与信息安全测评中心 |
更多格式 | 高清、无水印(增值服务) |