第二步,資產(chǎn)識別
機密性、完整性和可用性是評價資產(chǎn)的三個安全屬性。風(fēng)險評估中資產(chǎn)的價值不是以資產(chǎn)的經(jīng)濟價值來衡量,而是由資產(chǎn)在這三個安全屬性上的達成程度或者其安全屬性未達成時所造成的影響程度來決定的。安全屬性達成程度的不同將使資產(chǎn)具有不同的價值,而資產(chǎn)面臨的威脅、存在的脆弱性、以及已采用的安全措施都將對資產(chǎn)安全屬性的達成程度產(chǎn)生影響。
第三步,威脅識別
威脅可以通過威脅主體、資源、動機、途徑等多種屬性來描述。造成威脅的因素可分為人為因素和環(huán)境因素。根據(jù)威脅的動機,人為因素又可分為惡意和非惡意兩種。環(huán)境因素包括自然界不可抗的因素和其它物理因素。威脅作用形式可以是對信息系統(tǒng)直接或間接的攻擊,在機密性、完整性或可用性等方面造成損害;也可能是偶發(fā)的、或蓄意的事件。
第四步,脆弱性識別
脆弱性是資產(chǎn)本身存在的,如果沒有被相應(yīng)的威脅利用,單純的脆弱性本身不會對資產(chǎn)造成損害。而且如果系統(tǒng)足夠強健,嚴(yán)重的威脅也不會導(dǎo)致安全事件發(fā)生,并造成損失。即,威脅總是要利用資產(chǎn)的脆弱性才可能造成危害。
第五步,風(fēng)險分析
在完成了資產(chǎn)識別、威脅識別、脆弱性識別,以及對已有安全措施確認(rèn)后,將采用適當(dāng)?shù)姆椒ㄅc工具確定威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性。綜合安全事件所作用的資產(chǎn)價值及脆弱性的嚴(yán)重程度,判斷安全事件造成的損失對組織的影響,即安全風(fēng)險。
第六步,風(fēng)險評估報告輸出
對整個風(fēng)險評估過程和結(jié)果進行總結(jié),詳細(xì)說明被評估對象、風(fēng)險評估方法、資產(chǎn)、威脅、脆弱性的識別結(jié)果、風(fēng)險分析、風(fēng)險統(tǒng)計、結(jié)論、整改建議等內(nèi)容。