2014年5月28日 星期三

CISSP領域重要名詞釋疑 - 風險管理的程序

美國國家標準技術研究院(United States National Institute of Standards and Technology, NIST) 發表了公開的800-30,資訊安全系統的風險管理指南。
詳見http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf

此份指南提供了九個步驟去進行風險分析
1. System Characterization 系統特徵
2. Threat Identification 威脅識別
3. Vulnerability Identification 識別漏洞
4. Control Analysis 控制分析
5. Likelihood Determination 可能性確定
6. Impact Analysis 影響分析
7. Risk Determination 確定風險
8. Control Recommendations 控制建議
9. Results Documentation 結果文件

我們需要完整的覆蓋這些步驟;讓我們跟隨著NIST’s標準步驟來結束這個部分。

系統特徵描述須被分析的該系統風險管理的效用範圍。
再下兩個步驟,威脅識別和識別漏洞,定義了威脅和漏洞,要求是別風險使用該公式”Risk = Threat × Vulnerability”。
步驟四,控制分析,分析安全控制(安全閘)他們用來規劃和設置降低風險。步驟五跟步驟六,可能性確定和影響分析,則必須去訂義重要的風險(特別是哪些高可能性和高衝擊影響的風險)。
前七個步驟用來確定控制建議,或者是降低風險策略。這些策略被紀錄在最後一步驟,結果文件建檔。