网络安全风险评估需要分析哪些内容

2020-07-24 14:50:11 万方科技 576

网络安全风险评估,有时候也简称为风险评估。需要与基金风险评估,食品风险评估,项目风险评估等其他类别的风险评估有所区分。随着今年5月13日网络安全等级保护制度2.0标准正式发布,确定实施时间为2019年12月1日后,很多事业单位、具有重要信息系统和网络应用的公司,开始纷纷注意到国家对于网络安全保护的重视。因此,做好自身公司的网络安全风险评估,是积极响应国家网络安全整改政策,很好的一种方式。对于提升公司的网络安全,了解自有信息系统的安全性,提前预知和防御风险,非常有帮助。虽然很关心,但是术业有专攻,网络安全风险评估涉及到什么内容,该怎么分析呢?这些问题也许也能够让行外的企业高管们有所困惑。今天,小编,就简单为大家梳理一下,希望能够让你更了解网络安全风险评估的分析内容。


    网络安全风险评估分析,一般包括资产识别、脆弱性识别和威胁识别。风险评估涉及资产、威胁、脆弱性等基本要素。每个要素有各自的属性,资产的属性是资产价值(重要性);威胁的属性是威胁出现频率;脆弱性的属性是脆弱性的严重程度。风险评估的主要内容为:


    1、对资产进行识别,并对资产的重要性进行赋值;


    2、对威胁进行识别,描述威胁的属性,并对威胁出现的频率赋值;


    3、对资产的脆弱性进行识别,并对具体资产脆弱性的严重程度赋值;


    4、根据威胁和脆弱性的识别结果判断安全事件发生的可能性;


    5、根据脆弱性的严重程度及安全事件所作用资产的重要性计算安全事件的损失;


    6、根据安全事件发生的可能性以及安全事件的损失,计算安全事件一旦发生对组织的影响,即风险值。


    通过上述的资产识别、脆弱性识别和威胁识别得出安全现状分析,得出相关评估结果,然后通过物理环境评估、系统网络评估、主机系统评估、应用系统评估、数据安全备份及恢复评估等内容,结合资产评估、脆弱性评估和威胁评估的结果进行关联分析。


    在进行网络风险评估时,需要结合一些评估标准进行对比分析。万方安全从事网络风险评估多年,一般参考一些标准:

2020-07-24_144944.jpg