1.信息安全风险描述:
信息资产:笔记本电脑
威胁:小偷
弱点:缺乏有效的门禁系统或安保人员
风险:由于缺乏有效的门禁系统或安保人员,导致在办公场所内的笔记本电脑被偷,导致财物损失,以及可能造成数据泄露
2.风险分析与评价
在完成了资产识别、威胁识别、脆弱性识别,以及已有安全措施确认后,将采用适当的方法与工具确定威胁利用脆弱性导致安全事件发生的可能性。综合安全事件所作用的资产价值及脆弱性的严重程度,判断安全事件所造成的损失对组织的影响,即安全风险。
风险评价---矩阵法
安全事件可能性矩阵
安全事件可能性等级划分
风险矩阵
风险等级
3.风险处置策略
降低风险(防火墙)
规避风险(打补丁)
转嫁风险
接受风险
4.确定风险可接受水平原则
5.风险控制措施类别:
6.评价残余风险