전반적인 위험 평가는 정보 및 정보 처리 시설의 위협, 영향 및 취약성 및 발생 가능성을 평가하는 것입니다. 위험 평가는 또한 적절한 위험 평가 도구와 방법을 사용하여 자산의 위험 수준과 우선 순위를 결정하는 보안 위험과 크기를 확인하는 프로세스입니다. 정보 보안은 다음과 같은 측면에서 평가할 수 있습니다.
1. 위험 평가에서 고려해야 할 요소:
(1) 정보 자산 및 그 가치
(2) 이러한 자산에 대한 위협과 발생 가능성;
(3) 취약성;
(4) 기존 안전 관리 조치.
2, 정보 보안 평가 단계:
(1) 기관의 비즈니스 운영 프로세스에 따라 자산 검증을 수행하고 평가 원칙에 따라 자산 평가를 수행합니다.
(2) 자산이 위치한 환경에 따른 위협 평가;
(3) 각 위협에 대해 자산 또는 조직의 취약성을 평가한다.
(4) 사용 된 보안 메커니즘을 식별하고 확인한다.
(5) 위험 측정 방법 및 위험 수준 평가 원칙을 설정하여 위험의 크기와 등급을 결정합니다.
3, 위험 평가는 주제를 고려해야합니다:
위험 평가를 수행할 때 자산, 위협 및 취약성 간의 대응 관계를 충분히 고려하고 정확하게 구분해야 합니다.
A. 자산은 여러 가지 위협에 직면할 수 있습니다.
B. 위협 소스가 두 개 이상 있을 수 있으며 인력 (내부 및 외부 포함), 환경 (예: 자연 재해), 자산 자체 (예: 장비 고장) 등을 고려해야 합니다.
각 위협은 하나 이상의 취약점을 활용할 수 있습니다.