概述
H3 风险分析原理
风险分析是风险评估的核心部分,是定量或定性计算安全风险的过程
风险分析中要涉及资产、威胁、脆弱性三个基本要素。
资产的属性是资产价值,威胁的属性可以是威胁主体、影响对象、出现频率、动机等,脆弱性的属性是资产弱点的严重程度。
风险分析的主要内容:
1.对资产进行识别,并对资产的价值进行赋值
2.对威胁进行识别,描述威胁的属性,并对威胁出现的频率赋值
3.对脆弱性进行识别,并对具体资产的脆弱性的严重程度赋值
4.根据威胁及威胁利用脆弱性的难易程度判断安全事件发生的可能性
5.根据脆弱性的严重程度及安全事件所作用的资产价值计算安全事件造成的损失
6.根据安全事件发生的可能性及安全事件出现后的损失,计算安全事件一旦发生对组织的影响,即风险值
风险评估实施流程
资产识别
威胁识别
脆弱性识别
