华道众合专业提供ISO20000认证、ISO27001认证、ISO27000认证、信息系统集成及服务资质(CCRC信息安全认证)、itss资质认证、CMMI认证、APP安全认证、商用密码产品认证在线咨询  |  公司简介  |  联系我们
10年专业ISO20000、ISO27001、ISO27000、itss、CMMI、CCRC、商用密码产品、APP安全认证咨询机构
24小时服务热线:
13681200268
4006-010-725
服务项目
最新动态
热点文章
HOME 首页 > 服务项目 > ISO27000认证 > 信息安全脆弱性赋值方法

信息安全认证:信息安全脆弱性赋值方法

文章录入:华道众合   文章来源:华道众合   添加时间:2021-2-7
脆弱性赋值就是针对组织资产所存在的脆弱性,评估确定脆弱性的脆弱程度。评估者采用经验法判断。在确定赋值时应充分考虑以下因素的影响∶
a)脆弱点的社会知晓度;
b)脆弱点的利用成本;
c)利用脆弱点所要求的能力(如技术能力);
d)脆弱性被利用的难易程度。
脆弱性实际赋值过程中,除了考虑上面几个因素,下面信息需要特别加以关注,尤其是在再评估时。
e)通过过去的安全事件报告或记录,统计各种发生过的脆弱点被利用的频率;
f)过去一年或两年来社会对脆弱点的整体防护的程度。
脆弱性的赋值通常采取等级划分方式,一般为五级(见表5-8),从1~5分别代表五个级别的脆弱的程度。等级数值越大,脆弱性越大。
当然,评估者也可以根据被评估系统的实际情况自定义脆弱性的等级,但该评定方法必须在事先得到预先的定义和认可。
想了解更多的关于信息安全认证信息可以经常关注我们