정보 보안 위험 평가는 위험 평가 기준 및 관리 규범을 참조하여 정보 시스템의 자산 가치, 잠재적 위협, 약점 및 취해진 보호 조치를 분석하고 보안 사고 발생 확률과 발생 가능한 손실을 판단하며 위험 관리 조치를 제안하는 프로세스입니다. 위험 평가는 IT 분야에 적용되며 정보 보안에 대한 위험 평가입니다.
위험 평가는 초기 취약성 검사, 수동 감사, 침투율 테스트 등 간단한 기술 운영에서 BS7799, ISO 17799, 국가 표준' 정보 시스템 보안 수준 평가 지침' 등으로 바뀌면서 자산을 출발점으로 삼고 위협을 촉발시키는 요소로 기술/
둘째, 기업에 대한 위험 평가의 중요성
기업은 정보 시스템에 대한 의존도가 점점 더 강해지고 있으며, 보안 위협과 위험은 어디에나 있습니다. 기관 자체의 업무적 필요와 법률 및 규정의 요구 사항으로 볼 때 정보 위험 관리를 강화해야 합니다. 위험 평가는 조직이 위험 관리의 전략, 관행 및 도구를 정확하게 "포지셔닝" 할 수 있도록 후속 위험 통제 및 감사 승인 활동을 결정하기 위해 위험 평가 결과에 의존하는 위험 관리의 기초입니다. 이에 따라 안전활동은 중요한 문제에 초점을 맞추고 합리적이고 적용 가능한 안전대책을 선택할 예정이다.
위험 평가는 정보 시스템의 보안 상태를 명확히 하고 정보 시스템의 주요 보안 위험을 파악하는 것이 정보 시스템 보안 기술 시스템 및 관리 시스템 구축의 토대입니다.
위험 평가의 세 단계:
1: 시스템 특성을 설명합니다.
2 단계: 위협 식별 (위협 평가)
3 단계: 취약성 식별 (취약성 평가)
단계 4: 보안 제어 분석
5 단계: 가능성 결정
6 단계: 영향 분석
7 단계: 위험 파악
8 단계: 안전 관리에 대한 제안을하십시오.
9 단계: 평가 결과를 기록합니다.
넷째, 위험 평가의 역할
모든 시스템의 보안은 위험으로 측정할 수 있습니다. 시스템의 보안 위험을 과학적으로 분석하고 위험과 비용을 종합적으로 평가하는 과정은 위험 평가입니다. 위험 평가는 특정 시스템 (정보 시스템 포함) 에만 국한되지 않습니다. 일상생활과 업무에서는 위험 평가도 곳곳에서 볼 수 있다. 시스템 위험 및 위험 크기를 분석하고 파악하여 위험을 줄이고 피하기 위한 조치를 결정하고 나머지 위험을 용인할 수 있는 범위로 통제할 수 있습니다. 사람들은 종종 이런 질문을 한다: 언제 어디서 문제가 생길 수 있을까? 문제가 생길 가능성은 얼마나 됩니까? 이 문제들의 결과는 무엇입니까? 피하고 보충하기 위해 어떤 조치를 취해야 합니까? 그리고 항상 가장 합리적인 답을 찾으려고 노력한다. 이 과정은 실제로 위험 평가입니다.