风险管理和评估对每个澳门赌场官方下载的信息安全战略规划至关重要. 是否存在风险, 是否按业务流程, 人, 物理基础设施, 或者信息系统, 必须进行评估. 安全风险评估应包括评估资产的价值,以预测任何损害的影响和后果. 但专业人士在试图为澳门赌场官方下载提供资产估值保证时,往往面临挑战, 风险管理和控制实施实践. 这是由于不存在明确的、普遍接受的模型和程序. 幸运的是, 有几个简单的建议, 这里的适用模型可供专业人员用于度量和管理资产, 风险和控制在组织中的实施.
资产识别、估价和分类
识别, 信息系统资产的评估和分类是正确开发和部署指定IT资产所需的安全控制流程的关键任务.g.(数据,它们的容器). 能够通过使用此模型实现资产安全性的组织或个人必须首先识别和分类需要在安全流程中保护的组织IT资产.
将信息资产(如数据)映射到它的所有关键容器会导致技术资产, 物理记录和重要的存储人员, 运输和处理资产.1 信息资产的映射用于确定驻留在特定容器上的所有信息资产. 除了, 容器的价值取决于在该特定容器中处理和传输(通过网络)或存储(驻留)的数据. 安全审计应该评估数据或信息的处理方式, 以安全的方式转移和储存.2
风险评估及管理
风险评估包括对个体风险的定性评估和定量测量, 包括它们影响的相互关系. 风险管理是一种避免损失和利用现有机会的策略, 而, 风险领域可能产生的机会.3 通常没有单一的策略可以解决所有的IT资产风险领域, 而是, 一套平衡的策略通常会提供最有效的解决方案. 一旦确定了风险区域,就可以评估它们是否可接受. 如果风险是可以接受的, 除了沟通和监控风险之外,不需要进一步的行动, 但如果风险不可接受, 必须通过4种不同的预防和/或缓解措施加以控制:
- 减少影响.
- 降低可能性.
- 转移风险(给保险公司或分包商).
- 避免风险. (暂时使目标与威胁保持距离总结了安全目标的潜在影响定义.)
通常没有单一的策略可以解决所有的IT资产风险领域, 而是, 一套平衡的策略通常会提供最有效的解决方案.
结论
信息安全规划和安全控制实现的第一步是管理组织IT资产的风险和评估. 客观地衡量脆弱性等概念, 威胁, 风险的影响, 降低风险和实现对资产的控制可能是流程中最困难的部分. 这是因为在评级选择过程中主观判断缺乏统一性(高), 低, 中等),结果的质量和准确性高度依赖于评估人员的专业经验. 这里描述的模型可以最大限度地减少错误,并引入由不同的个人及其组织执行的活动和过程结果的一致性.
编者按
这篇文章节选自一篇发表在 ISACA® 杂志. 阅读全文。”IT资产评估、风险评估与控制实施模型,在vol中. 3、2017年的 ISACA杂志.
尾注
1 Caralli R. A.; J. F. Stevens; L. R. Young; W. R. Wilson; “介绍八度快板:改进资讯安全风险评估流程,卡内基梅隆大学,美国宾夕法尼亚州匹兹堡,2007年5月
2 奥利维亚。”信息系统审计与信息安全审计的区别”差异.com, 2011年4月16日
3 这位设计师,F., “信息技术安全风险评估中的信息资产评估方法,“世界工程大会论文集2008,卷. I
Shemlse Gebremedhin Kassa, CISA, CEH
是United Bank S的系统和IT审计员吗.C. 也是埃塞俄比亚MASSK咨询公司的安全顾问. 他在商业和IT方面拥有多学科的学术和实践背景,在会计方面拥有10多年的经验, 预算, 审计, 银行和金融行业的控制和安全咨询. Kassa积极参与IT安全项目和研究, 他致力于更新当前的系统和IT审计发展,以跟上动态变化的世界和不断增加的网络犯罪和黑客挑战. 他曾在本地及国际刊物发表文章,包括 ISACA杂志.