等保安全评估流程-等保安全评估-多面魔方

网络安全风险评估流程图

      风险评估工作主要依据GB/T 20984-2015《信息安全技术信息安全风险评估规范》进行，总体的工作流程可以分成资产评估阶段、威胁评估阶段、脆弱性评估阶段、风险综合分析阶段和风险处置计划阶段。对评估范围内的所有资产进行识别，等保安全评估流程，并调查资产破坏后可能造成的损失大小，根据危害和损的大小为资产进行相对赋值；资产包括硬件、软件、服务、信息和人员等。

     风险评估的实施流程，如下图所示：

风险分析的原理

风险分析中要涉及资产、威胁、脆弱性三个基本要素。每个要素有各自的属性，资产的属性是资产价值；威胁的属性可以是威胁主体、影响对象、出现频率、动机等；脆弱性的属性是资产弱点的严重程度。风险分析的主要内容为：

对资产进行识别，并对资产的价值进行赋值；

对威胁进行识别，描述威胁的属性，等保安全评估，并对威胁出现的频率赋值；

对脆弱性进行识别，并对具体资产的脆弱性的严重程度赋值；

根据威胁及威胁利用脆弱性的难易程度判断安全事件发生的可能性；

根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件造成的损失；

根据安全事件发生的可能性以及安全事件出现后的损失，计算安全事件一旦发生对组织的影响，即风险值。

脆弱性的分类

脆弱性是针对每一个需要保护的信息资产所存在的弱点，常见的弱点有三类：

1、技术型弱点——系统、程序 、设备中存在的漏洞或缺陷，等保安全评估有哪些，比如结构设计问题和编程漏洞。

2、操作型弱点——软件和系统在配置、操作、使用中的缺陷，包含人员在日常工作中的不良习惯，审计和备份的缺失等。

3、管理型的弱点——策略、程序 、规章制度、人员意识、组织结构等方面的不足。