服务项目

ISO27000认证：信息安全风险-脆弱性识别方法，ISO27000信息安全认证证书办理

文章录入：华道众合文章来源：华道众合添加时间：2022-11-29

1、脆弱性识别内容

如果脆弱性没有对应的威胁，则无需实施控制措施,但应注意并监视他们是否发生变化。相反,如果威胁没有对应的脆弱性,也不会导致风险。应注意,控制措施的不合理实施、控制措施故障或控制措施的误用本身也是脆弱性。控制措施因其运行的环境,可能有效或无效。

脆弱性可从技术和管理两个方面进行审视。技术脆弱性涉及IT环境的物理层.网络层、系统层、应用层等各个层面的安全问题或隐患。管理脆弱性又可分为技术管理脆弱性和组织管理脆弱性两方面，前者与具体技术活动相关,后者与管理环境相关。

脆弱性识别可以以资产为核心,针对每一项需要保护的资产,识别可能被威胁利用的脆弱性,并对脆弱性的严重程度进行评估;也可以从物理、网络、系统、应用等层次进行识别,然后与资产、威胁对应起来。脆弱性识别的依据可以是国际或国家安全标准,也可以是行业规范、应用流程的安全要求。对应用在不同环境中的相同的脆弱性,其影响程度是不同的,评估方应从组织安全策略的角度考虑,判断资产的脆弱性被利用难易程度及其影响程度。同时,应识别信息系统所采用的协议、应用流程的完备与否、与其他网络的互联等。

对不同的识别对象,其脆弱性识别的具体要求应参照相应的技术或管理标准实施。表8给出了一种脆弱性识别内容的参考。

脆弱性赋值时包括两部分，一部分是脆弱性被利用难易程度赋值，一部分是影响程度赋值。

2、脆弱性被利用难易程度赋值

脆弱性被利用难易程度赋值需要综合考虑已有安全措施的作用。一般来说,安全措施的使用将降低系统技术或管理上脆弱性被利用难易程度,但安全措施确认并不需要和脆弱性识别过程那样具体到每个资产、组件的脆弱性,而是一类具体措施的集合。

依据脆弱性和已有安全措施识别结果,得出脆弱性被利用难易程度,并进行等级化处理,不同的等级代表脆弱性被利用难易程度高低。等级数值越大,脆弱性越容易被利用。表9给出了脆弱性被利用难易程度的一种赋值方法。

3、影响程度赋值

影响程度赋值是指脆弱性被威胁利用导致安全事件发生后对资产价值所造成影响的轻重程度分析并赋值的过程。识别和分析资产可能受到的影响时,需要考虑受影响资产的层面。可从业务层面、系统层面、系统组件和单元三个层面进行分析。

影响程度赋值需要综合考虑安全事件对资产保密性、完整性和可用性的影响。影响程度赋值采用等级划分处理方式,不同的等级分别代表对资产影响的高低。等级数值越大.影响程度越高。表10给出了影响程度的一种赋值方法。

想了解更多的关于ISO27000认证信息可以经常关注我们

【相关文章】