先决条件 – 威胁建模

风险只不过是资产、威胁和脆弱性的交集。

A+T+V = R

NIST SP 800-30 信息技术从业者风险管理指南将风险定义为给定威胁源使用特定潜在漏洞的可能性以及该不利事件对组织产生的影响的函数。

因此，风险评估的主要组成部分是：

• 威胁
• 漏洞
• 影响（即潜在损失）
• 发生的可能性（即事件——威胁成功利用漏洞——发生的概率）

威胁是任何可以意外或故意利用漏洞并破坏或损坏资产的东西。资产可以是任何人、财产或信息。资产是我们想要保护的东西，威胁是我们想要防御的东西。脆弱性意味着我们的保护工作存在差距或弱点。

威胁源是一种有意或无意地利用漏洞或情况的方法。例如，病毒或蠕虫所附着的恶意软件，通过包含病毒作为附件或链接的电子邮件在系统中传播自身并传播到其他计算机。如果发件人在不知道附件或链接的恶意目的的情况下共享此电子邮件，则这将是无意的威胁源，否则将是有意的威胁源。

整个处理风险的过程可以分为以下几个阶段：

1. 上下文建立
2. 风险评估
   • 风险识别
   • 风险评估
   • 风险评估
3. 风险管理/缓解
   • 风险承担
   • 风险规避
   • 风险限制
   • 风险规划
   • 研究和致谢
   • 风险转移
4. 风险沟通
5. 风险监控和审查
6. IT评估和评估

1. 上下文建立——
在此步骤中，获取有关风险管理活动的组织和基本标准、目的、范围和边界的信息。除了这些数据之外，收集有关负责风险管理活动的组织的详细信息也很重要。

研究组织的使命、价值观、结构、战略、位置和文化环境，以深入了解其范围和边界。
组织的限制条件（预算、文化、政治、技术）将被收集和记录，作为后续步骤的指南。

组织内部负责风险管理活动的主要角色可以看作是：

1. 高级管理人员
2. 首席信息官 (CIO)
3. 系统和信息所有者
4. 业务和职能经理
5. 信息系统安全官 (ISSO) 或首席信息安全官 (CISO)
6. IT安全从业者
7. 安全意识培训师

信息安全风险管理 |组 2