安全等級如何評估

1. 確定信息價值

   大多數組織沒有無限的信息風險管理預算，因此最好將您的范圍限制在最關鍵的業務資產上。為了以后節省時間和金錢，請花一些時間來定義確定資產重要性的標準。大多數組織都包括資產價值、法律地位和業務重要性。一旦該標準正式納入組織的信息風險管理政策，就可以使用它來將每項資產分類為關鍵、主要或次要資產。

2. 確定資產并確定其優先級

   第一步是確定要評估的資產并確定評估范圍。這將使您能夠確定要評估的資產的優先級。您可能不想對每個建筑物、員工、電子數據、商業機密、車輛和辦公設備進行評估。并非所有資產都具有相同的價值。

   您需要與業務用戶和管理人員一起創建所有有價值資產的列表。對于每項資產，在適用的情況下收集軟件、硬件、數據、界面、終端用戶、支持個人、目的、危急程度、功能要求、信息技術安全政策、IT安全架構、網絡拓撲結構、信息存儲保護、信息流、技術安全控制、物理安全控制、環境安全信息。

3. 識別網絡威脅

   網絡威脅是指任何可被利用來破壞安全以造成傷害或從您的組織竊取數據的漏洞。雖然會想到黑客、惡意軟件和其他 IT 安全風險，但還有許多其他威脅：

   • 自然災害：洪水、颶風、地震、閃電和火災的破壞力不亞于任何網絡攻擊者。您不僅會丟失數據，還會丟失服務器。在內部部署服務器和基于云的服務器之間做出決定時，請考慮發生自然災害的可能性。

   • 系統故障：您最關鍵的系統是否在高質量設備上運行？他們有很好的支持嗎？

   • 人為錯誤：您的S3 存儲桶是否正確配置了保存敏感信息的信息？您的組織是否接受過有關惡意軟件、網絡釣魚和社會工程的適當教育？任何人都可能不小心點擊惡意軟件鏈接或將其憑據輸入到網絡釣魚詐騙中。您需要有強大的 IT 安全控制，包括定期數據備份、密碼管理器等。

   • 對抗性威脅：第三方供應商、內部人員、受信任的內部人員、特權內部人員、成熟的黑客團體、特設團體、企業間諜、供應商、民族國家

     影響每個組織的一些常見威脅包括：

   • 未經授權的訪問：來自攻擊者、惡意軟件、員工錯誤

   • 授權用戶濫用信息：通常是內部威脅，其中數據被更改、刪除或未經批準使用

   • 數據泄露：個人身份信息 (PII)和其他敏感數據，由攻擊者或通過糟糕的云服務配置

   • 數據丟失：組織丟失或意外刪除數據作為備份或復制不良的一部分

   • 服務中斷：由于停機造成的收入損失或聲譽損失

     在確定組織面臨的威脅后，您需要評估它們的影響。

4. 識別漏洞

   漏洞是威脅可以利用來破壞安全、損害您的組織或竊取敏感數據的弱點。通過漏洞分析、審計報告、美國國家標準與技術研究院 (NIST)漏洞數據庫、供應商數據、事件響應團隊和軟件安全分析發現漏洞。

5. 分析控制并實施新控制

   分析現有的控制措施，以最大限度地減少或消除威脅或漏洞的可能性。控制可以通過技術手段實現，例如硬件或軟件、加密、入侵檢測機制、雙因素身份驗證、自動更新、持續數據泄漏檢測，或通過非技術手段，例如安全策略和物理機制，例如鎖或鑰匙卡訪問。

   控制應分類為預防性或檢測性控制。預防性控制嘗試阻止加密、防病毒或持續安全監控等攻擊，檢測性控制嘗試發現攻擊何時發生，如持續數據暴露檢測。

6. 每年計算各種情景的可能性和影響

   了解了信息價值、威脅、漏洞和控制措施，下一步是確定這些網絡風險發生的可能性以及發生時的影響。

7. 根據預防成本與信息價值對風險進行優先排序

   以風險級別為基礎，確定高級管理人員或其他負責人采取的措施以減輕風險。以下是一些準則：

   • 高——盡快制定整改措施

   • 中等 - 在合理的時間內制定的正確措施

   • 低 - 決定是接受風險還是減輕風險

     在已經確定了資產的價值以及您可以花多少錢來保護它的情況下，如果保護資產的成本超過其價值，則使用預防性控制來保護它可能沒有意義。也就是說，請記住可能會產生聲譽影響，而不僅僅是財務影響，因此將其考慮在內也很重要。

     另外，請考慮組織政策、名譽受損、可行性、法規、 控制的有效性、安全、可靠性、組織對風險的態度、 對風險因素不確定性的容忍度、風險因素的組織權重等相關因素。

8. 記錄風險評估報告的結果

   最后一步是制定風險評估報告，以支持管理層就預算、政策和程序做出決策。對于每個威脅，報告應描述風險、漏洞和價值。以及發生的影響和可能性以及控制建議。

回答所涉及的環境：聯想天逸510S、Windows 10。